Nhà nghiên cứu phá vỡ MacBook Pro mới của Apple chỉ sau vài tuần ra mắt

Một nhà nghiên cứu tại Trường Công nghệ Georgia đã thành công trong việc tránh được các biện pháp bảo mật trên mẫu MacBook Pro mới nhất của Apple với chip xử lý M3 để bắt lấy mật khẩu Facebook và tin nhắn xác thực hai yếu tố của mục tiêu hư cấu của mình.

Một đoạn video chứng minh, sinh viên tiến sĩ Jason Kim đã cho thấy: lỗ hổng iLeakage mà anh ta vừa phát hiện ra vẫn là mối đe dọa thực sự đối với các thiết bị của Apple, bất kể các phần mềm của họ có được cập nhật cách đây như thế nào.

Lỗ hổng được phát hiện đầu tiên bởi Kim và Daniel Genkin, một giáo sư đại học thuộc trường Cybersecurity and Privacy, ảnh hưởng đến tất cả các dòng iPhone, iPad, laptop và máy tính để bàn của Apple sản xuất từ năm 2020 trở lại đây.

iLeakage cho phép kẻ tấn công xem xét những gì đang xảy ra trên trình duyệt Safari của mục tiêu. Lỗ hổng này cho phép tiếp cận tiềm năng vào thông tin đăng nhập Instagram, hộp thư đến Gmail và lịch sử xem YouTube, như Kim đã hướng dẫn tháng trước trên một chiếc MacBook Pro cũ hơn một chút.

“Một kẻ tấn công từ xa có thể triển khai iLeakage bằng cách lưu trữ trang web độc hại mà họ kiểm soát, và một mục tiêu chỉ cần truy cập vào trang web đó,” Kim cho hay. “Do Safari không cô lập trang web từ nguồn khác nhau một cách đúng đắn, trang web của kẻ tấn công có khả năng ép buộc Safari đặt trang web mục tiêu trong cùng không gian địa chỉ. Kẻ tấn công có thể sử dụng thi hành trình tra cứu để đọc bất kỳ bí mật tùy ý nào từ trang web mục tiêu.”

Làm thế nào mà điều này có thể xảy ra? Vâng, khi người sản xuất phát triển CPU nhanh hơn và hiệu quả hơn, thiết bị của họ đã trở nên dễ bị tổn thương bởi một thứ gọi là các cuộc tấn công thi hành trình tra cứu. Lỗ hổng này nằm trong thiết kế của chính chip. Nó đã dẫn tới những vấn đề phần mềm lớn từ khi cuộc tấn công Spectre được báo cáo vào năm 2018.

Đã có nhiều nỗ lực để ngăn chặn những loại cuộc tấn công như thế này, nhưng Kim và Genkin cho thấy qua nghiên cứu của họ rằng còn nhiều công việc cần phải thực hiện.

“iLeakage chứng minh những cuộc tấn công này vẫn đáng chú ý và có thể khai thác, thậm chí sau gần sáu năm nỗ lực khắc phục Spectre kể từ khi nó được phát hiện,” Genkin nói. “Cuộc tấn công Spectre buộc CPU thi hành trình tra cứu theo cách sai lầm. Chúng tôi đã phát hiện ra rằng điều này có thể được sử dụng trong một số môi trường khác nhau, bao gồm Google Chrome và Safari.”

Đội ngũ đã thông tin Apple về các phát hiện của họ vào ngày 12 tháng 9 năm 2022. Kể từ đó, công ty công nghệ này đã đưa ra biện pháp hạn chế cho iLeakage trong Safari. Tuy nhiên, các nhà nghiên cứu lưu ý rằng cập nhật ban đầu không hoạt động theo mặc định. Nó chỉ tương thích với macOS Ventura 13.0 và cao hơn tính đến hiện tại.

Cho đến nay, nhóm nghiên cứu chưa có bằng chứng cho thấy là kẻ tấn công máy tính thực tế đã sử dụng iLeakage. Họ đã xác định rằng iLeakage là một cuộc tấn công khá khó khăn để tổ chức từ đầu đến cuối, yêu cầu kiến thức tiên tiến về cuộc tấn công bảo mật từ phía trình duyệt và triển khai Safari.

iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices sẽ được công bố tại Hội nghị Bảo mật Máy tính và Truyền thông ACM SIGSAC năm nay.

A Georgia Tech researcher has successfully evaded security measures on Apple’s latest MacBook Pro with the M3 processor chip to capture his fictional target’s Facebook password and second-factor authentication text.

By the end of his demonstration video, Ph.D. student Jason Kim showed how the recently discovered iLeakage side-channel exploit is still a genuine threat to Apple devices, regardless of how updated their software might be.

First discovered by Kim and Daniel Genkin, an associate professor in the School of Cybersecurity and Privacy, the vulnerability affects all recent iPhones, iPads, laptops, and desktops produced by Apple since 2020.

iLeakage allows attackers to see what’s happening on their target’s Safari browser. This vulnerability allows potential access to Instagram login credentials, Gmail inboxes, and YouTube watch histories, as Kim demonstrated last month on a slightly older MacBook Pro.

“A remote attacker can deploy iLeakage by hosting a malicious webpage they control, and a target just needs to visit that webpage,” said Kim. “Because Safari does not properly isolate webpages from different origins, the attacker’s webpage is able to coerce Safari to put the target webpage in the same address space. The attacker can use speculative execution to subsequently read arbitrary secrets from the target page.”

How is this possible? Well, as manufacturers developed faster and more efficient CPUs, their devices have become vulnerable to something called speculative execution attacks. This vulnerability is in the design of the chip itself. It has led to major software issues since the Spectre attack was reported in 2018.

There have been many attempts to stop these types of attacks, but Kim and Genkin show through their research that more work still needs to be done.

“iLeakage shows these attacks are still relevant and exploitable, even after nearly six years of Spectre mitigation efforts following its discovery,” said Genkin. “Spectre attacks coerce CPUs into speculatively executing the wrong flow of instructions. We have found that this can be used in several different environments, including Google Chrome and Safari.”

The team made Apple aware of its findings on Sept. 12, 2022. Since then, the tech company has issued mitigation for iLeakage in Safari. However, the researchers note that the update was not initially enabled by default. It was only compatible with macOS Ventura 13.0 and higher as of today.

So far, the team does not have evidence that real-world cyber-attackers have used iLeakage. They’ve determined that iLeakage is a significantly difficult attack to orchestrate end-to-end, requiring advanced knowledge of browser-based side-channel attacks and Safari’s implementation.

The vulnerability is confined to the Safari web browser on macOS because the exploit leverages peculiarities unique to Safari’s JavaScript engine. However, iOS users face a different situation due to the sandboxing policies on Apple’s App Store. The policies require other browser apps using iOS to use Safari’s JavaScript engine, making nearly every browser application listed on the App Store vulnerable to iLeakage.

iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices will be published at the 2023 ACM SIGSAC Conference on Computer and Communications Security later this month.