L'attaque ‘iLeakage’ peut forcer Apple Safari à révéler des mots de passe

Un groupe de chercheurs académiques a développé une attaque par exécution spéculative nommée « iLeakage » qui peut extraire des données sensibles, telles que des mots de passe et des e-mails, sur les récents appareils Apple via le navigateur web Safari.

iLeakage a été développé par une équipe d’académiques du Georgia Tech, de l’Université du Michigan et de l’Université Ruhr de Bochum après un examen approfondi de la résilience aux canaux auxiliaires de Safari. Ils ont également publié un article et un site web avertissant les utilisateurs de la menace.

Cette attaque est la première démonstration d’une attaque par exécution spéculative contre les CPU Apple Silicon et le navigateur Safari. La vulnérabilité affecte les Macs et les iPhones de 2020 et ultérieurs qui ont été construits avec les puces A-series et M-series basées sur Arm d’Apple.

Les chercheurs ont créé un exploit de preuve de concept implémentant iLeakage en tant que site web malveillant qui peut exploiter une vulnérabilité de canal auxiliaire dans le silicium natif d’Apple (CPU A-series et M-series) fonctionnant sur des appareils iOS et macOS, permettant une fuite de données.

Ils ont réussi cela en abusant de la politique d’isolement des sites de Safari, démontrant une nouvelle technique qui permet à la page de l’attaquant de partager l’espace d’adressage avec des pages victimes arbitraires en les ouvrant à l’aide de l’API JavaScript window.open.

En construisant des ensembles d’éviction dans le navigateur et en contournant les atténuations de minuterie de Safari, les chercheurs ont pu finalement contourner les contre-mesures de compression d’adressage 35 bits d’Apple et de contamination de valeur en utilisant la confusion de type spéculatif, permettant ainsi aux chercheurs de divulguer des données sensibles, telles que des mots de passe et des e-mails, d’un Mac ou d’un iPhone ciblé.

« Ainsi, nous avons créé une page d’attaquant qui lie window.open à un écouteur d’événements onmouseover, nous permettant d’ouvrir n’importe quelle page web dans notre espace d’adressage chaque fois que la cible a son curseur de souris sur la page », indique le document de recherche de l’équipe.

« Nous notons que même si la cible ferme la page ouverte, le contenu en mémoire n’est pas immédiatement effacé, permettant à notre attaque de continuer à divulguer des secrets. »

L’attaque iLeakage est exécutée à l’aide de JavaScript et de WebAssembly, les deux langages de programmation pour la livraison de contenu web dynamique.

Comme le montrent les vidéos de démonstration ( 1)( 2)( 3), les chercheurs ont pu récupérer des messages Gmail dans Safari exécuté sur un iPad et un mot de passe de compte test Instagram qui a été rempli automatiquement dans le navigateur web Safari à l’aide du service de gestion de mots de passe LastPass, ainsi que l’historique de visionnage YouTube de Chrome pour iOS.

« Nous montrons comment un attaquant peut amener Safari à rendre une page web arbitraire, récupérant ensuite des informations sensibles présentes à l’intérieur en utilisant l’exécution spéculative », ont écrit les chercheurs sur un site web informatif.

« En particulier, nous démontrons comment Safari permet à une page web malveillante de récupérer des secrets de cibles populaires à forte valeur, telles que le contenu de la boîte de réception Gmail. Enfin, nous démontrons la récupération de mots de passe, au cas où ceux-ci seraient remplis automatiquement par des gestionnaires de crédentials. »

Selon les chercheurs, le défaut a le potentiel d’affecter tous les navigateurs sur iOS en raison de la politique d’Apple qui exige que tous les navigateurs tiers iOS utilisent son moteur WebKit. Heureusement, cette attaque par exécution spéculative nécessite un niveau élevé de connaissances techniques, ce qui explique pourquoi elle n’attire pas les cybercriminels.

Apple a été informé de la vulnérabilité par les chercheurs le 12 septembre 2022. Depuis lors, la société n’a mis en œuvre qu’une méthode d’atténuation manuelle pour macOS afin de protéger les utilisateurs, indique l’équipe. De plus, l’atténuation fonctionne contre les Macs uniquement lorsqu’ils exécutent Safari.

Apple dit être au courant de la vulnérabilité et assure qu’un correctif plus permanent sera inclus dans une future mise à jour logicielle. Vous pouvez visiter la page iLeakage pour des instructions sur la façon d’activer l’atténuation.

« Lorsque Apple mettra l’atténuation en production, nous nous attendons à ce qu’elle protège complètement les utilisateurs de notre attaque », a ajouté Jason Kim, un doctorant au Georgia Tech, qui a travaillé avec l’équipe.

« Nous n’avons pas entendu d’Apple sur la façon dont leur atténuation affecte leurs benchmarks de performance de navigateur, ni quand les atténuations seront déployées auprès des clients.