Google Project Zero a dévoilé jeudi les détails d’un nouveau mécanisme de sécurité qu’Apple a discrètement ajouté à iOS 14 comme contre-mesure pour empêcher les attaques qui ont récemment été découvertes pour exploiter le zéro-jour dans son application de messagerie.
Surnommé « BlastDoor, « le système sandbox amélioré pour les données iMessage a été révélé par Samuel Groß, un chercheur en sécurité chez Project Zero, une équipe de chercheurs en sécurité chez Google chargée d’étudier les vulnérabilités zero-day dans les systèmes matériels et logiciels.
« L’un des changements majeurs dans iOS 14 est l’introduction d’un nouveau service ‘BlastDoor’ étroitement sandbox, qui est désormais responsable de la quasi-totalité de l’analyse des données non fiables dans iMessages, » Groß m’a dit. « De plus, ce service est écrit en Swift, un langage (principalement) sûr pour la mémoire, ce qui rend considérablement plus difficile l’introduction de vulnérabilités classiques de corruption de mémoire dans la base de code. »
Le développement est la conséquence d’un exploit sans clic qui a exploité une faille Apple iMessage dans iOS 13.5.1 pour contourner les protections de sécurité dans le cadre d’une campagne de cyberespionnage ciblant les journalistes d’Al Jazeera l’année dernière.
« Nous ne croyons pas que [the exploit] fonctionne contre iOS 14 et plus, qui inclut de nouvelles protections de sécurité », les chercheurs de Citizen Lab qui ont révélé l’attaque le mois dernier.
BlastDoor constitue le cœur de ces nouvelles protections de sécurité, selon Groß, qui a analysé les changements mis en œuvre au cours d’un projet de rétro-ingénierie d’une semaine à l’aide d’un M1 Mac Mini exécutant macOS 11.1 et d’un iPhone XS exécutant iOS 14.3.
Lorsqu’un iMessage entrant arrive, le message Passe à travers un certain nombre de services, dont le principal est le démon Apple Push Notification Service (apsd) et un processus d’arrière-plan appelé imagent, qui est non seulement responsable du décodage du contenu du message, mais également du téléchargement des pièces jointes (via un service distinct appelé IMTransferAgent) et de la gestion liens vers des sites Web, avant d’alerter le Tremplin pour afficher la notification.
Ce que fait BlastDoor, c’est d’inspecter tous ces messages entrants dans un environnement sécurisé et sandbox, ce qui empêche tout code malveillant à l’intérieur d’un message d’interagir avec le reste du système d’exploitation ou d’accéder aux données utilisateur.
En d’autres termes, en déplaçant la majorité des tâches de traitement – c’est-à-dire en décodant la liste des propriétés du message et en créant des aperçus de lien – de l’imagent vers ce nouveau composant BlastDoor, un message spécialement conçu envoyé à une cible ne peut plus interagir avec le système de fichiers ou effectuer des opérations réseau.
«Le profil du bac à sable est assez serré», a noté Groß. « Seule une poignée de locaux IPC services peuvent être atteints, presque toutes les interactions du système de fichiers sont bloquées, toute interaction avec IOKit les conducteurs sont interdits, [and] l’accès au réseau sortant est refusé. «
De plus, dans le but de retarder les redémarrages ultérieurs d’un service en panne, Apple a également introduit une nouvelle fonctionnalité de limitation dans iOS « Launchd« processus permettant de limiter le nombre d’essais qu’un attaquant obtient lorsqu’il cherche à exploiter une faille en augmentant de façon exponentielle le temps entre deux tentatives successives de force brute.
« Avec ce changement, un exploit qui reposait sur des plantages répétés du service attaqué nécessiterait désormais de l’ordre de plusieurs heures à environ une demi-journée au lieu de quelques minutes », a déclaré Groß.
« Dans l’ensemble, ces changements sont probablement très proches des meilleurs qui auraient pu être réalisés compte tenu du besoin de compatibilité ascendante, et ils devraient avoir un impact significatif sur la sécurité d’iMessage et de la plate-forme dans son ensemble. »
