In januari bracht Apple iOS 16.3 en macOS 13.2 uit, samen met andere software-updates. In de release-opmerkingen werden echter alleen de nieuwe iOS 16.3-functies genoemd, zoals de nieuwe unity-achtergrond, beveiligingssleutels voor Apple ID, ondersteuning voor HomePod 2 en verschillende bugfixes.
Nu heeft Trellix, een onderzoeksbureau voor cyberbeveiliging, de twee belangrijkste beveiligingskwetsbaarheden gedetailleerd beschreven die het technologiebedrijf in de vorige iOS 16.3- en macOS 13.2-updates heeft gepatcht en die aanvallers toegang hadden kunnen geven tot gevoelige informatie van gebruikers, zoals berichten, belgeschiedenis, foto's, locatie, toegangscamera en meer.
iOS 16.3 en macOS 13.2 hebben exploits gepatcht die toegang konden krijgen tot berichten, foto's en meer van gebruikers
De ontdekking van een 0-click iOS-remote code genaamd FORCEDENTRY door Citizen Lab in 2021 inspireerde Trellix om de Sandbox Escape te verkennen die in de exploit werd gebruikt, omdat deze een manier beschrijft om “dynamisch willekeurige code uit te voeren in een ander proces dat het ondertekenen van code volledig omzeilde.”
Onderzoekers ontdekten dat NSPredicate, een klasse die door ontwikkelaars wordt gebruikt om lijsten met willekeurige objecten te filteren, “een geheel nieuwe bugklasse bevatte die de beveiliging tussen processen in macOS en iOS volledig verbreekt.”
Hoewel Apple de functies verwijderde die in FORCEDENTRY Sandbox Escape werden gebruikt en nieuwe maatregelen introduceerde om de exploitatie van NSPredicate te beperken, konden deze nieuwe maatregelen worden omzeild met behulp van methoden die niet beperkt waren en door technieken te creëren met een groot aantal potentiële kwetsbaarheden om toegang te krijgen tot de camera en microfoons van het apparaat, locatiegegevens en meer. Het kan het apparaat wissen.
De eerste kwetsbaarheid die we binnen deze nieuwe klasse bugs hebben gevonden, bevindt zich in coreduetd, een proces dat gegevens verzamelt over gedrag op het apparaat. Een aanvaller die code uitvoert in een proces met de juiste rechten, zoals Berichten of Safari, kan een kwaadaardig NSPredicaat verzenden en code uitvoeren met de bevoegdheden van dit proces.
Dit proces draait als root op macOS en geeft de aanvaller toegang tot de agenda, het adresboek en foto's van de gebruiker. Een zeer vergelijkbaar probleem met dezelfde impact heeft ook invloed op contextstored, een proces gerelateerd aan CoreDuet. Dit resultaat is vergelijkbaar met dat van FORCEDENTRY, waarbij de aanvaller een kwetsbare XPC-service kan gebruiken om code uit te voeren vanuit een proces met meer toegang tot het apparaat.
De appstored-daemons (en appstoreagent op macOS) beschikken ook over kwetsbare XPC-services. Een aanvaller die controle heeft over een proces dat met deze daemons kan communiceren, zou deze kwetsbaarheden kunnen misbruiken om de mogelijkheid te krijgen willekeurige applicaties te installeren, mogelijk zelfs inclusief systeemapps.
Aanbevolen leesmateriaal:macOS 13.4 uitgebracht met sportfeed in Apple News en bugfixes
Het rapportbedanktApple voor de samenwerking met Trellix voor het tijdig oplossen van de beveiligingsproblemen op iOS 16.3 en macOS 13.2, gezien de ernst ervan.
De bovenstaande kwetsbaarheden vertegenwoordigen een aanzienlijke inbreuk op het beveiligingsmodel van macOS en iOS, dat afhankelijk is van individuele applicaties die een fijnmazige toegang hebben tot de subset van bronnen die ze nodig hebben en die hogere geprivilegieerde services bevragen om iets anders te krijgen. Services die NSPredicate-argumenten accepteren en deze controleren met onvoldoende NSPredicateVisitors staan kwaadaardige toepassingen toe en exploiteren code om procesisolatie te omzeilen en rechtstreeks toegang te krijgen tot veel meer bronnen dan zou moeten worden toegestaan.
Lees meer:
- Apple stopt met het ondertekenen van iOS 16.3. downgrades vanaf iOS 16.3.1 niet meer mogelijk
- iOS 16.3.1-update veroorzaakt problemen met de Google Foto's-app [U: Fix beschikbaar]
- Alles nieuw in iOS 16.4 bèta 1: Safari-webpush, emoji's en meer
- Apple treedt hard op tegen het delen van bètaprofielen voor ontwikkelaars in iOS 16.4 bèta 1