L'attacco ‘iLeakage’ può costringere Apple Safari a rivelare le password

Un gruppo di ricercatori accademici ha sviluppato un attacco di esecuzione speculativa chiamato “iLeakage” che può estrarre dati sensibili, come password ed email, sui recenti dispositivi Apple tramite il browser web Safari.

iLeakage è stato sviluppato da un team di accademici del Georgia Tech, dell’Università del Michigan e dell’Università Ruhr di Bochum dopo un’ampia analisi della resilienza ai canali laterali di Safari. Hanno anche pubblicato un documento e un sito web per avvisare gli utenti riguardo alla minaccia.

Questo attacco è la prima dimostrazione di un attacco di esecuzione speculativa contro le CPU Apple Silicon e il browser Safari. La vulnerabilità colpisce i Mac e gli iPhone dal 2020 in poi, costruiti con i chip A-series e M-series basati su Arm di Apple.

I ricercatori hanno creato un exploit proof-of-concept implementando iLeakage come un sito web malevolo che può sfruttare una vulnerabilità di canale laterale nel silicio nativo di Apple (CPU A-series e M-series) in esecuzione su dispositivi iOS e macOS, consentendo la perdita di dati.

Hanno raggiunto questo obiettivo abusando della politica di isolamento dei siti di Safari, dimostrando una nuova tecnica che consente alla pagina dell’attaccante di condividere lo spazio degli indirizzi con pagine vittima arbitrarie aprendole utilizzando l’API JavaScript window.open.

Costruendo set di espulsione nel browser e aggirando le mitigazioni del timer di Safari, i ricercatori sono stati in grado di eludere infine le contromisure di indirizzamento compresso a 35 bit e avvelenamento dei valori di Apple utilizzando la confusione di tipo speculativa, consentendo così ai ricercatori di rivelare dati sensibili, come password ed email, da un Mac o iPhone mirato.

“Così, abbiamo creato una pagina dell’attaccante che lega window.open a un listener di eventi onmouseover, permettendoci di aprire qualsiasi pagina web nel nostro spazio degli indirizzi ogni volta che il bersaglio ha il cursore del mouse sulla pagina,” afferma il documento di ricerca del team.

“Notiamo che anche se il bersaglio chiude la pagina aperta, i contenuti in memoria non vengono immediatamente rimossi, permettendo al nostro attacco di continuare a rivelare segreti.”

L’attacco iLeakage viene eseguito utilizzando JavaScript e WebAssembly, i due linguaggi di programmazione per la fornitura di contenuti web dinamici.

Come mostrato nei video dimostrativi ( 1)( 2)( 3), i ricercatori sono stati in grado di recuperare messaggi di Gmail in Safari eseguendo un iPad e una password di un account di test Instagram che è stata compilata automaticamente nel browser web Safari utilizzando il servizio di gestione delle password LastPass, così come la cronologia di visualizzazione di YouTube da Chrome per iOS.

“Mostriamo come un attaccante può indurre Safari a rendere una pagina web arbitraria, recuperando successivamente informazioni sensibili presenti al suo interno utilizzando l’esecuzione speculativa,” hanno scritto i ricercatori su un sito web informativo.

“In particolare, dimostriamo come Safari consenta a una pagina web malevola di recuperare segreti da obiettivi popolari ad alto valore, come il contenuto della casella di posta di Gmail. Infine, dimostriamo il recupero delle password, nel caso in cui queste siano compilate automaticamente dai gestori di credenziali.”

Secondo i ricercatori, il difetto ha il potenziale di influenzare tutti i browser su iOS a causa della politica di Apple che richiede a tutti i browser di terze parti su iOS di utilizzare il suo motore WebKit. Fortunatamente, questo attacco di esecuzione speculativa richiede un alto livello di conoscenza tecnica, motivo per cui non attira i criminali informatici.

Apple è stata informata della vulnerabilità dai ricercatori il 12 settembre 2022. Da allora, l’azienda ha implementato solo un metodo di mitigazione manuale per macOS per proteggere gli utenti, afferma il team. Inoltre, la mitigazione funziona contro i Mac solo quando eseguono Safari.

Apple afferma di essere a conoscenza della vulnerabilità e assicura una soluzione più permanente che sarà inclusa in un futuro rilascio software. Puoi visitare la pagina iLeakage per istruzioni su come attivare la mitigazione.

“Quando Apple implementerà la mitigazione in produzione, ci aspettiamo che protegga completamente gli utenti dal nostro attacco,” ha aggiunto Jason Kim, un dottorando al Georgia Tech, che ha lavorato con il team.

“Non abbiamo sentito da Apple come la loro mitigazione influisca sui benchmark delle prestazioni del loro browser, né quando le mitigazioni saranno distribuite ai clienti.