Атака ‘iLeakage’ может заставить Apple Safari раскрывать пароли

Группа академических исследователей разработала атаку с использованием спекулятивного выполнения под названием «iLeakage», которая может извлекать конфиденциальные данные, такие как пароли и электронные письма, на последних устройствах Apple через веб-браузер Safari.

iLeakage была разработана командой ученых из Georgia Tech, Университета Мичигана и Рурского университета Бохума после тщательного изучения устойчивости Safari к побочным каналам. Они также опубликовали статью и веб-сайт, предупреждающие пользователей об угрозе.

Эта атака является первой демонстрацией атаки с использованием спекулятивного выполнения против процессоров Apple Silicon и браузера Safari. Уязвимость затрагивает Mac и iPhone с 2020 года и позже, которые были собраны с использованием чипов Apple на базе Arm серии A и M.

Исследователи создали эксплойт в качестве доказательства концепции, реализующего iLeakage в виде вредоносного веб-сайта, который может использовать уязвимость побочного канала в родном кремнии Apple (процессоры серии A и M), работающем на устройствах iOS и macOS, позволяя утечку данных.

Они достигли этого, злоупотребив политикой изоляции сайтов Safari, продемонстрировав новую технику, которая позволяет странице атакующего делить адресное пространство с произвольными страницами жертв, открывая их с помощью API JavaScript window.open.

Создавая наборы выселения в браузере и обходя меры противодействия таймерам Safari, исследователи смогли в конечном итоге обойти сжатую 35-битную адресацию Apple и меры противодействия отравлению значений, используя спекулятивную путаницу типов, тем самым позволяя исследователям утекать конфиденциальные данные, такие как пароли и электронные письма, с целевого Mac или iPhone.

«Таким образом, мы создали страницу атакующего, которая связывает window.open с обработчиком события onmouseover, позволяя нам открывать любую веб-страницу в нашем адресном пространстве, когда цель имеет курсор мыши на странице», — говорится в исследовательской статье команды.

«Мы отмечаем, что даже если цель закроет открытую страницу, содержимое в памяти не очищается немедленно, позволяя нашей атаке продолжать раскрывать секреты.»

Атака iLeakage выполняется с использованием JavaScript и WebAssembly, двух языков программирования для доставки динамического веб-контента.

Как показано в демонстрационных видео (1)(2)(3), исследователи смогли восстановить сообщения Gmail в Safari на iPad и пароль тестового аккаунта Instagram, который был автоматически заполнен в веб-браузере Safari с использованием сервиса управления паролями LastPass, а также историю просмотров YouTube из Chrome для iOS.

«Мы показываем, как атакующий может заставить Safari отобразить произвольную веб-страницу, затем восстанавливая конфиденциальную информацию, присутствующую в ней, с использованием спекулятивного выполнения», — написали исследователи на информационном веб-сайте.

«В частности, мы демонстрируем, как Safari позволяет вредоносной веб-странице восстанавливать секреты из популярных высокоценимых целей, таких как содержимое почтового ящика Gmail. Наконец, мы демонстрируем восстановление паролей, если они автоматически заполняются менеджерами учетных данных.»

По словам исследователей, этот недостаток может повлиять на все браузеры на iOS из-за политики Apple, требующей, чтобы все сторонние браузеры iOS использовали его движок WebKit. К счастью, эта атака с использованием спекулятивного выполнения требует высокого уровня технических знаний, поэтому она не привлекает киберпреступников.

Apple была уведомлена об уязвимости исследователями 12 сентября 2022 года. С тех пор компания реализовала только ручной метод смягчения для macOS, чтобы защитить пользователей, говорит команда. Кроме того, смягчение работает против Mac только при запуске Safari.

Apple сообщает, что осведомлена об уязвимости и гарантирует более постоянное решение, которое будет включено в будущий выпуск программного обеспечения. Вы можете посетить страницу iLeakage для получения инструкций о том, как активировать смягчение.

«Когда Apple внедрит смягчение в производство, мы ожидаем, что оно полностью защитит пользователей от нашей атаки», — добавил Джейсон Ким, аспирант Georgia Tech, который работал в команде.

«Мы не слышали от Apple о том, как их смягчение влияет на производительность их браузера, или когда смягчения будут развернуты для клиентов.»