Si un individu est capable d’une telle chose avec du matériel aux possibilités limitées, imaginez ce que pourraient faire des groupes organisés. Cet avertissement émane de Ian Beer, membre de l’équipe Google Project Zero.
La « chose » en question a consisté à prendre le contrôle d’un iPhone « en zéro clic ». Elle se fonde sur une faille d’iOS qu’Apple a corrigée depuis lors.
Le problème résidait dans AWDL (Apple Wireless Direct Link)*. Ce protocole P2P propriétaire repose sur le Wi-Fi (802.11a et 802.11g). AirDrop, AirPlay et Sidecar, entre autres, en font usage. Aussi bien sur iOS que sur macOS.
Par rapport au Wi-Fi Direct, AWDL n’est pas chiffré. Il est en revanche plus souple. D’une part, il peut gérer plus de deux pairs, qui n’ont pas besoin d’être connectés au même réseau. De l’autre, il est capable de gérer en parallèle les modes ad hoc et infrastructure, en s’appuyant sur le multiplexage temporel. Généralement opérationnel sur les canaux 6 (2,426-2,448 GHz) et 44 (5,21-5,25 GHz), il utilise une adresse MAC codée en dur – et dont Apple s’est réservé l’usage – pour éviter d’éventuels conflits avec des points d’accès.
AWDL a un historique de vulnérabilités sérieuses. L’une d’entre elles permettait d’intercepter et de modifier des données transmises via AirDrop. Une autre, de suivre à distance la localisation d’un iPhone. Elle a disparu avec iOS 12.3 et macOS 10.14.5.
Ian Beer avait amorcé ses travaux sur des Mac portables. Il avait découvert, à cette occasion, une vulnérabilité qui allait prendre le matricule CVE-2020-3843. Et qu’Apple, averti, allait éliminer avec iOS 13.1.1 et macOS 10.15.3.
Pour s’en prendre à l’iPhone, l’intéressé s’est muni d’une clé Wi-Fi supportant le mode moniteur et l’injection de paquets. En l’occurrence, une Netgear WG111v2 avec chipset rt18187. Il l’a associée à un Raspberry Pi 4B. Et exploité la bibliothèque de gestion du trafic réseau libpcap, en association avec le framework DTrace.
Sur l’iPhone, il a fallu faire avec les défenses intégrées au processeur A12. Entre autres, la fonction d’authentification des pointeurs. Ian Beer est parvenu à la détourner, en combinaison avec le système de listes de pairs sur lequel repose AWDL.
Au gré de ses travaux, il a involontairement mis le doigt sur d’autres failles, dont la CVE-2020-9906. Il est finalement parvenu à lire la mémoire kernel à un débit de plusieurs ko/seconde. Mais aussi à pousser des commandes à distance (par exemple, lancer l’application Calculatrice).
L’étape suivante a consisté à développer une charge utile capable de remplir les mêmes tâches en local, par élévation de privilèges. La vidéo ci-dessous en donne l’illustration. Un implant exécuté en root récupère la photo la plus récente sur un iPhone 11 Pro. L’ensemble du processus prend environ 2 minutes. Avec un équipement plus sophistiqué, quelques secondes suffiraient, affirme Ian Beer. Et pas seulement pour accéder à la dernière photo…
* Que faire si AWDL n’est pas en fonction sur la cible ? En forcer l’activation ! Le levier : une modification, par force brute (cassage d’un hash), des messages que les appareils diffusent régulièrement sur Bluetooth pour signaler leur présence dans leur voisinage. Cela fonctionne aussi sur des appareils verrouillés, à condition qu’ils aient déjà été déverrouillés au moins une fois depuis leur démarrage.
Illustration principale © Apple
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…