El ataque ‘iLeakage’ puede obligar a Apple Safari a revelar contraseñas

Un grupo de investigadores académicos ha desarrollado un ataque de ejecución especulativa llamado “iLeakage” que puede extraer datos sensibles, como contraseñas y correos electrónicos, en dispositivos Apple recientes a través del navegador web Safari.

iLeakage ha sido desarrollado por un equipo de académicos del Georgia Tech, la Universidad de Michigan y la Universidad Ruhr de Bochum tras un extenso examen de la resistencia a canales laterales de Safari. También han publicado un artículo y un sitio web advirtiendo a los usuarios sobre la amenaza.

Este ataque es la primera demostración de un ataque de ejecución especulativa contra CPUs Apple Silicon y el navegador Safari. La vulnerabilidad afecta a Macs y iPhones desde 2020 en adelante que fueron construidos con los chips A-series y M-series de Apple.

Los investigadores crearon un exploit de prueba de concepto implementando iLeakage como un sitio web malicioso que puede explotar una vulnerabilidad de canal lateral en el silicio nativo de Apple (CPUs A-series y M-series) que ejecutan dispositivos iOS y macOS, permitiendo la fuga de datos.

Lograron esto abusando de la política de aislamiento de sitios de Safari, demostrando una nueva técnica que permite a la página del atacante compartir el espacio de direcciones con páginas de víctimas arbitrarias al abrirlas usando la API JavaScript window.open.

Al construir conjuntos de desalojo en el navegador y eludir las mitigaciones de temporizador de Safari, los investigadores pudieron finalmente eludir las contramedidas de direccionamiento comprimido de 35 bits de Apple y la contaminación de valores usando confusión de tipo especulativa, permitiendo así a los investigadores filtrar datos sensibles, como contraseñas y correos electrónicos, de un Mac o iPhone objetivo.

“Así, creamos una página de atacante que vincula window.open a un listener de evento onmouseover, permitiéndonos abrir cualquier página web en nuestro espacio de direcciones siempre que el objetivo tenga su cursor del mouse sobre la página”, dice el artículo de investigación del equipo.

“Notamos que incluso si el objetivo cierra la página abierta, el contenido en memoria no se limpia de inmediato, permitiendo que nuestro ataque continúe revelando secretos.”

El ataque iLeakage se ejecuta usando JavaScript y WebAssembly, los dos lenguajes de programación para entregar contenido web dinámico.

Como se muestra en videos de demostración (1)(2)(3), los investigadores pudieron recuperar mensajes de Gmail en Safari ejecutándose en un iPad y una contraseña de cuenta de prueba de Instagram que fue autocompletada en el navegador web Safari usando el servicio de gestión de contraseñas LastPass, así como el historial de visualización de YouTube desde Chrome para iOS.

“Mostramos cómo un atacante puede inducir a Safari a renderizar una página web arbitraria, recuperando posteriormente información sensible presente en ella usando ejecución especulativa”, escribieron los investigadores en un sitio web informativo.

“En particular, demostramos cómo Safari permite a una página web maliciosa recuperar secretos de objetivos populares de alto valor, como el contenido de la bandeja de entrada de Gmail. Finalmente, demostramos la recuperación de contraseñas, en caso de que estas sean autocompletadas por gestores de credenciales.”

Según los investigadores, la falla tiene el potencial de afectar a todos los navegadores en iOS debido a la política de Apple que requiere que todos los navegadores de terceros en iOS utilicen su motor WebKit. Afortunadamente, este ataque de ejecución especulativa requiere un alto nivel de conocimiento técnico, razón por la cual no atrae a los criminales cibernéticos.

Apple fue notificada sobre la vulnerabilidad por los investigadores el 12 de septiembre de 2022. Desde entonces, la compañía solo ha implementado un método de mitigación manual para macOS para proteger a los usuarios, dice el equipo. Además, la mitigación funciona contra Macs solo cuando se ejecuta Safari.

Apple dice que está al tanto de la vulnerabilidad y asegura que habrá una solución más permanente que se incluirá en una futura versión de software. Puedes visitar la página de iLeakage para obtener instrucciones sobre cómo activar la mitigación.

“Cuando Apple implemente la mitigación en producción, esperamos que proteja completamente a los usuarios de nuestro ataque”, agregó Jason Kim, un estudiante de doctorado en Georgia Tech, que trabajó en el equipo.

“No hemos oído de Apple sobre cómo su mitigación afecta a sus benchmarks de rendimiento del navegador, o cuándo se desplegarán las mitigaciones a los clientes.