Os fornecedores de spyware utilizam uma combinação de explorações de zero day e vulnerabilidades conhecidas. A este respeito, os investigadores do Google TAG estão a exortar a acelerar a aplicação de correções nos dispositivos móveis.
Por Lucian Constantin
Vários fornecedores comerciais de spyware desenvolveram e utilizaram explorações de zero day contra utilizadores de iOS e Android ao longo do último ano. No entanto, as suas cadeias também se basearam em vulnerabilidades conhecidas para funcionar, salientando a importância tanto dos utilizadores como dos fabricantes de dispositivos, acelerando a adoção de patches de segurança. “As explorações de zero day foram utilizadas juntamente com as explorações de dia ‘N’, aproveitando o longo período de tempo entre o lançamento dos patches e a sua implantação completa nos dispositivos do utilizador final”, advertem os investigadores do Grupo de Análise de Ameaças (TAG) do Google num relatório que detalha os agentes de ataque. “As nossas conclusões sublinham a medida em que os fornecedores de vigilância comercial proliferaram capacidades historicamente utilizadas apenas por governos com os conhecimentos técnicos especializados para desenvolver e implementar explorações”.
iOS spyware
A Apple tem um controlo muito mais apertado do seu ecossistema móvel, pois é o único fabricante de hardware de dispositivos iOS e o criador do software que corre sobre eles. Como tal, iPhones e iPads têm tido historicamente uma taxa de adoção de patches muito melhor do que o Android, onde a Google cria o sistema operativo de base e depois dezenas de fabricantes de dispositivos personalizam-no para os seus próprios produtos e mantêm o seu próprio firmware independente.
Em novembro de 2022, o Google TAG detetou uma campanha de ataque por SMS dirigida a utilizadores de iOS e Android em Itália, Malásia e Cazaquistão, utilizando cordas de exploração para ambas as plataformas. A campanha incluiu URLs encurtados em bit.ly que, quando clicados, dirigiam os utilizadores para uma página web contendo as explorações e depois redirecionavam-nas para websites legítimos, tais como o portal de rastreio de envios da empresa logística italiana BRT ou um site de notícias popular da Malásia.
A cadeia de exploits iOS combinou uma vulnerabilidade de execução de código remoto no WebKit, o motor de renderização de websites da Apple utilizado no Safari e no iOS, que era desconhecido e sem remarcação na altura. O bug, agora rastreado como CVE-2022-42856, foi corrigido em janeiro, depois de o Google TAG o ter reportado à Apple.
Contudo, uma falha de execução de código remoto no motor do navegador web não é suficiente para comprometer um dispositivo, porque sistemas operativos móveis como o iOS e Android utilizam técnicas de sandboxing para limitar os privilégios do navegador. Portanto, o atacante combinou esta vulnerabilidade de zero day com uma fuga de sandbox e uma falha de escalada de privilégios (CVE-2021-30900) no AGXAccelerator, um componente de drivers GPU, que a Apple tinha corrigido no iOS 15.1 em outubro de 2021.
A cadeia de exploits também utilizou uma técnica de desvio do PAC que a Apple remendou em março de 2022 e que já tinha sido vista em explorações utilizadas por um fornecedor comercial de spyware chamado Cytrox em 2021 para distribuir o seu spyware Predator numa campanha contra um líder da oposição política egípcia que vivia no exílio e um jornalista egípcio. De facto, ambas as façanhas tinham uma função muito específica chamada make_bogus_transform, sugerindo que podiam ser relacionadas.
Na campanha de novembro vista pelo Google TAG, a carga útil final na cadeia de exploração era um simples pedaço de malware que informava periodicamente os atacantes sobre a localização GPS dos dispositivos infetados, mas também lhes dava a capacidade de enviar ficheiros .IPA (ficheiro de aplicação iOS) para os dispositivos afetados.
Cadeia de exploits da espionagem Android
Os utilizadores do Android receberam uma cadeia de exploits semelhante que combinava uma vulnerabilidade de execução de código no motor do navegador, desta vez o Chrome, com uma fuga de sandbox e uma escalada de privilégios. A falha de execução de código foi CVE-2022-3723, uma vulnerabilidade de confusão de tipo encontrada pelos investigadores do fornecedor de antivírus Avast e corrigida na versão Chrome 107.0.5304.87 em outubro de 2022. Isto foi combinado com um desvio de sandbox da GPU Chrome (CVE-2022-4135) que foi corrigido no Android em novembro de 2022, mas era de zero day na altura em que foi explorado, e uma exploração para uma vulnerabilidade nos drivers da GPU ARM Mali (CVE-2022-38181) para a qual a ARM tinha lançado patches em agosto de 2022.
Esta cadeia de exploits cuja carga útil não foi recuperada, funcionou contra os utilizadores de dispositivos Android com GPUs ARM Mali e uma versão Chrome inferior a 106. O problema é que uma vez que o ARM lança patches para o seu código, os fabricantes de dispositivos podem levar meses para os integrar no seu próprio firmware e lançar as suas próprias atualizações de segurança. Com o bug Chrome, os utilizadores tinham menos de um mês para instalar a atualização antes de esta campanha ter ocorrido.
Isto realça a importância dos fabricantes de dispositivos acelerarem a integração de correções para vulnerabilidades críticas e de os utilizadores manterem as suas aplicações de dispositivos atualizadas, especialmente as críticas tais como navegadores, clientes de correio eletrónico, etc.
Contra dispositivos Samsung
Outra campanha, descoberta em dezembro de 2022, visava os utilizadores do browser da Samsung, que é o browser padrão nos dispositivos Android da Samsung e se baseia no projeto de código aberto Chromium. Esta campanha também utilizava links enviados via SMS a utilizadores nos Emirados Árabes Unidos, mas a página de destino da exploração era idêntica a um TAG previamente observado para a estrutura Heliconia desenvolvida pelo fornecedor comercial de spyware Variston.
Esta exploração combinava várias falhas de zero day e de dia N, mas que eram de zero day para o browser da Samsung ou para o firmware em execução nesses dispositivos na altura. Uma das vulnerabilidades era o CVE-2022-4262, uma vulnerabilidade de confusão do tipo execução de código em Chrome corrigida em dezembro de 2022. Isto foi combinado com uma fuga de sandbox (CVE-2022-3038) que foi corrigida em agosto de 2022 na versão 105 em Chrome. Contudo, o navegador da Samsung na altura da campanha de ataque baseava-se no Chromium versão 102 e não incluía estas últimas atenuações, demonstrando mais uma vez como os atacantes tiram partido das janelas de patches lentas.
A cadeia de exploits também dependia de uma vulnerabilidade de escalada de privilégios (CVE-2022-22706) no driver do kernel GPU do ARM Mali que o ARM corrigiu em janeiro de 2022. Na altura dos ataques em Dezembro de 2022, a última versão de firmware dos dispositivos Samsung ainda não tinha incorporado a correção.
A cadeia de exploits também incluiu outra vulnerabilidade de escalada de privilégios de zero day (CVE-2023-0266) no subsistema de som do kernel Linux que dava aos atacantes acesso de leitura e escrita ao kernel, bem como múltiplos zero days de fuga de informação do kernel que a Google relatou tanto ao ARM como à Samsung. “Estas campanhas continuam a sublinhar a importância da aplicação de patches, pois os utilizadores não seriam afetados por estas cadeias de exploração se tivessem um dispositivo totalmente atualizado”, dizem os investigadores do Google TAG. “As mitigações intermédias, tais como PAC, V8 sandbox e MiraclePTR têm um impacto real nos programadores de exploração, uma vez que teriam precisado de bugs adicionais para os contornar”.