iPhones ainda que desligados podem executar Malwares. Hackers podem abusar do modo de baixo consumo para executar malware em iPhones desligados.
Pesquisadores de uma universidade na Alemanha analisaram a implementação do modo de baixo consumo (LPM) em iPhones e descobriram que ela apresenta riscos de segurança potencialmente sérios, permitindo até mesmo que invasores executem malware em dispositivos desligados.
O LPM é ativado quando o usuário desliga o iPhone ou quando o dispositivo desliga devido à bateria fraca. Embora o dispositivo pareça completamente desligado, o LPM garante que certos recursos ainda estejam disponíveis, incluindo o serviço Find My (para localizar um dispositivo), chaves digitais do carro, aplicativos de pagamento e cartões de viagem.
Embora o LPM tenha muitos benefícios, ele também apresenta alguns riscos de segurança que não podem ser ignorados, principalmente por jornalistas, ativistas e outros indivíduos que são mais propensos a serem alvos de agentes de ameaças bem financiados.
Uma análise realizada por uma equipe de pesquisadores do Secure Mobile Networking Lab da TU Darmstadt mostrou que, em modelos recentes de iPhone, os sistemas de comunicação sem fio Bluetooth, NFC e banda ultralarga (UWB) permanecem ativos mesmo após o desligamento do dispositivo. Eles realizaram uma análise dos recursos introduzidos no iOS 15.
“Os chips Bluetooth e UWB são conectados ao Secure Element (SE) no chip NFC, armazenando segredos que devem estar disponíveis no LPM. Como o suporte ao LPM é implementado no hardware, ele não pode ser removido alterando os componentes do software. Como resultado, nos iPhones modernos, os chips sem fio não podem mais ser desligados após o desligamento”, explicaram os pesquisadores.
Os pesquisadores verificaram se os aplicativos que dependem do LPM (por exemplo, Find My) funcionam conforme o esperado, bem como o impacto na segurança do hardware e do firmware.
Na análise focada no firmware, os pesquisadores presumiram que o invasor tinha acesso privilegiado ao firmware, sendo capaz de enviar comandos personalizados para o firmware, modificar a imagem do firmware ou executar o código pelo ar. Eles alegam que, uma vez que o firmware tenha sido comprometido, o invasor pode manter um controle limitado do dispositivo mesmo depois de ter sido desligado pelo usuário, o que pode ser útil para explorações persistentes.
No caso da camada de hardware, os pesquisadores presumiram que o invasor não manipulou o hardware. Eles se concentraram em determinar quais componentes poderiam ser ativados sem o conhecimento do usuário e quais aplicativos poderiam ser construídos.
Eles também detalharam como o firmware Bluetooth LPM pode ser alterado para executar malware em um iPhone 13 quando o dispositivo está desligado. Isso é possível porque o firmware não está assinado ou criptografado e o chip Bluetooth não possui inicialização segura ativada.
“O design dos recursos do LPM parece ser principalmente impulsionado pela funcionalidade, sem considerar as ameaças fora dos aplicativos pretendidos”, disseram os pesquisadores em seu artigo . “Find My after power off transforma iPhones desligados em dispositivos de rastreamento por design, e a implementação no firmware Bluetooth não é protegida contra manipulação. As propriedades de rastreamento podem ser alteradas furtivamente por invasores com acesso no nível do sistema.”
“Além disso, o suporte de chave de carro moderno requer UWB em LPM. Bluetooth e UWB agora estão conectados ao SE, usados para armazenar chaves de carros e outros segredos. Dado que o firmware Bluetooth pode ser manipulado, isso expõe as interfaces SE ao iOS. No entanto, o SE destina-se especificamente a proteger segredos sob a condição de que o iOS e os aplicativos executados nele possam ser comprometidos”, acrescentaram.
Os pesquisadores acreditam que a Apple deveria adicionar um interruptor de hardware para desconectar a bateria, o que “melhoraria a situação para usuários preocupados com a privacidade e alvos de vigilância, como jornalistas”.
Eles disponibilizaram algumas ferramentas de código aberto — InternalBlue e Frankenstein — que podem ser usadas para análise e modificações de firmware.
Os pesquisadores disseram que relataram suas descobertas à Apple, mas a gigante da tecnologia não forneceu feedback antes que o artigo fosse publicado na semana passada. A SecurityWeek entrou em contato com a Apple para comentar e atualizará este artigo se a empresa responder.
No início deste ano, outros pesquisadores mostraram como um malware iOS pode conseguir persistência em um iPhone fingindo o processo de desligamento do dispositivo .
Fonte: SecurityWeek
Veja também:
- Acrônimos de segurança cibernética – um glossário prático
- Air gapping (air gap attack)
- Fortinet lança novo conjunto de FortiGate Network Firewalls
- Ciberataque persistente a Costa Rica pode ser prenuncio de ataque global
- Como implementar Gestão de vulnerabilidades na empresa?
- Google, Microsoft e Apple querem implantar logins sem as credenciais
- Por que o ciber é a evolução da guerra?
- Alexa é “solução de escuta ativa” de vigilância
- Como proteger a sua privacidade?
- Educação é um dos três setores mais visados por cibercriminosos
- Ransomcloud: a última geração de ransomware tem como alvo a nuvem
- Milhões de laptops Lenovo contêm vulnerabilidades em nível de firmware
Deixe sua opinião!