BlastDoor el sistema sandbox mejorado para los datos de iMessage

Iniciado por Dragora, Febrero 01, 2021, 11:55:45 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.


Google Project Zero reveló el jueves detalles de un nuevo mecanismo de seguridad que Apple agregó silenciosamente a iOS 14 como una contramedida para evitar ataques que recientemente se descubrió que aprovechan los días cero en su aplicación de mensajería.

Apodado " BlastDoor " , el sistema sandbox mejorado para los datos de iMessage fue revelado por Samuel Groß, un investigador de Google Project Zero encargado de estudiar las vulnerabilidades de día cero en sistemas de hardware y software.

"Uno de los cambios más importantes en iOS 14 es la introducción de un nuevo servicio 'BlastDoor' de espacio aislado que ahora es responsable de casi todo el análisis de datos que no son de confianza en iMessages", dijo Groß . "Además, este servicio está escrito en Swift, un lenguaje (en su mayoría) seguro para la memoria que dificulta mucho la introducción de vulnerabilidades clásicas de corrupción de memoria en la base del código".

El desarrollo es una consecuencia de un exploit de cero clic que aprovechó una falla de Apple iMessage en iOS 13.5.1 para evitar las protecciones de seguridad como parte de una campaña de ciberespionaje dirigida a los periodistas de Al Jazeera el año pasado.

"No creemos que [el exploit] funcione contra iOS 14 y superior, lo que incluye nuevas protecciones de seguridad", señalaron los investigadores de Citizen Lab que revelaron el ataque descrito el mes pasado.

BlastDoor forma el núcleo de esas nuevas protecciones de seguridad, según Groß, quien analizó los cambios implementados en el transcurso de un proyecto de ingeniería inversa de una semana utilizando un Mac Mini M1 con macOS 11.1 y un iPhone XS con iOS 14.3.

Cuando llega un iMessage entrante, el mensaje pasa a través de una serie de servicios, el principal de los cuales es el demonio del servicio de notificaciones push de Apple (apsd) y un proceso en segundo plano llamado imagent, que no solo es responsable de decodificar el contenido del mensaje sino también de descargar archivos adjuntos. (a través de un servicio separado llamado IMTransferAgent) y manejo de enlaces a sitios web, antes de alertar al SpringBoard para que muestre la notificación.


Lo que hace BlastDoor es inspeccionar todos los mensajes entrantes en un entorno seguro y aislado, lo que evita que cualquier código malicioso dentro de un mensaje interactúe con el resto del sistema operativo o acceda a los datos del usuario.

Dicho de otra manera, al mover la mayoría de las tareas de procesamiento, es decir, decodificar la lista de propiedades del mensaje y crear vistas previas de enlaces, de imagent a este nuevo componente BlastDoor, un mensaje especialmente diseñado enviado a un objetivo ya no puede interactuar con el sistema de archivos realizar operaciones de red.

"El perfil de la caja de arena es bastante estrecho", señaló Groß. "Sólo se puede acceder a un puñado de servicios IPC locales , se bloquea casi toda la interacción del sistema de archivos, se prohíbe cualquier interacción con los controladores IOKit y se niega el acceso a la red saliente".

Además, en un intento por retrasar los reinicios posteriores de un servicio que falla , Apple también ha introducido una nueva función de limitación en el proceso " launchd " de iOS para limitar la cantidad de intentos que un atacante hace cuando busca explotar una falla aumentando exponencialmente el tiempo. entre dos intentos sucesivos de fuerza bruta.

Citar"Con este cambio, un exploit que se basaba en bloquear repetidamente el servicio atacado ahora probablemente requeriría del orden de varias horas a aproximadamente medio día para completarse en lugar de unos pocos minutos", dijo Groß.

"En general, estos cambios probablemente se acercan mucho a lo mejor que se podría haber hecho dada la necesidad de compatibilidad con versiones anteriores, y deberían tener un impacto significativo en la seguridad de iMessage y la plataforma en su conjunto".

Vía: The Hacker News