Zero-click ou zero-touch est une attaque à distance sur un appareil qui ne nécessite aucune action supplémentaire de la part de l'utilisateur. Elle peut être réalisée par voie aérienne (OTA, over-the-air): il suffit que la victime soit à portée du canal de communication sans fil souhaité. Nous parlerons de telles attaques dans cet article.
Au lieu d'introduire
L'original.
Les attaques en 0 clic ne nécessitent aucune action de la part de l'utilisateur. Les attaques en 1 clic nécessitent une sorte d'action. Dans l'ensemble, presque toutes les attaques contre les applications serveur peuvent être attribuées à 0 clic, mais notre article ne concerne pas les logiciels serveur. L'apparition d'attaques en 1 clic et 0 clic est associée à la propagation massive des appareils mobiles, à l'augmentation de la couverture réseau et au nombre de points Wi-Fi. En raison de la navigation active sur Internet, les appareils mobiles stockent de nombreuses informations personnelles et confidentielles. Le but ultime de l'attaquant est précisément ces données utilisateur, qui sont désormais stockées non pas sur le serveur ou l'ordinateur personnel, mais directement dans sa poche.
Au cours des 10 dernières années, toutes nos informations et communications sont passées des ordinateurs de bureau aux téléphones mobiles puissants avec un tas de matériel intelligent. Ainsi, la surface d'attaque (surface d'attaque) a considérablement augmenté.
Auparavant, un pare-feu offre une sécurité relative à l'utilisateur. Mais maintenant, il est clair que tout le monde est menacé de piratage, et surtout - l'attaque peut être invisible.
Comment est-ce possible?
- Lorsque les attaquants transfèrent des données spécialement formées vers l'appareil de la victime via un canal de transmission de données sans fil (GSM, LTE, Wi-Fi, Bluetooth, NFC, etc. - soulignez la nécessité).
- La vulnérabilité pourrait fonctionner lors du traitement de ces données directement sur la puce (bande de base, SoC Wi-Fi, SoC Bluetooth, SoC NFC, etc.).
- Ou les données peuvent aller un peu plus loin, et la vulnérabilité fonctionnera lors du prétraitement des données sur le programme cible (appels, SMS, MMS, messageries instantanées, clients de messagerie, etc.), qui est responsable de la préparation de ces données pour l'utilisateur.
- Ensuite, la charge utile de l'exploit effectue certaines actions pour la post-exploitation.
Dans ce cas, la victime doit effectuer exactement 0 clics, touches ou transitions! Une telle attaque est difficile à prévenir et il est impossible de blâmer la victime d'avoir suivi un lien de phishing à partir d'un message ou d'avoir ouvert une sorte de document. Dans certaines sources, la même attaque est appelée «entièrement distante» ou «sans interaction» - il n'y a pas de terme unique.
La «commodité» d'une telle attaque est que l'attaquant n'a pas besoin de mener des sessions d'ingénierie sociale pour convaincre l'utilisateur de cliquer sur le lien ou d'ouvrir le document. Tout se passe inaperçu, et l'utilisateur peut ne pas comprendre du tout qu'une attaque s'est produite. Si vous suivez le chemin classique à travers une attaque contre une application utilisateur, presque tout est déjà plâtré avec diverses atténuations de sécurité. Et si vous passez du côté de différents SoC, il y a une forte probabilité de rencontrer un système sans atténuation de sécurité, ce qui, bien sûr, simplifie le travail de l'attaquant.
Cela peut ĂŞtre n'importe quoi:
- Données de service lors de la communication avec une tour de cellule (commandes OTA)
- Packages de niveau lien
- RĂ©ponses d'authentification
- Messages SMS
- Messages MMS
- Messages vocaux
- Vidéoconférence
- Messages à votre messager préféré (Skype, WhatsApp, Viber, FaceTime, Telegram, etc.)
- Appels
- etc.
Tout ce qui précède peut entraîner le déclenchement d'une vulnérabilité soit dans le micrologiciel de la puce, soit dans le code du programme responsable de son traitement. Malheureusement, même le code responsable de la première étape du traitement des données contient des vulnérabilités.
En prime, nous vous recommandons un article de Natalie Silvanovich de Google Project Zero "La surface d'attaque entièrement à distance de l'iPhone" .
Y a-t-il de vrais exemples?
L'intérêt pour de telles attaques dans les cercles de recherche est apparu assez récemment, et maintenant elles gagnent en popularité. Parmi les travaux dans ce domaine, on peut distinguer les suivants (la liste ne prétend pas être complète):
Remarque sur le fonctionnement du processeur en bande de base:
Lorsque vous utilisez des bandes de base à l'aide d'une station de base malveillante, il convient de noter qu'à partir de la 3G, la plupart des paquets doivent être authentifiés avec une clé spéciale. Citation de «Exploitation d'une bande de base de smartphone moderne» : «C'est parce qu'à l'origine les réseaux 2G (deuxième génération) considéraient le BTS (station de base) comme un composant de confiance, hors de portée des attaquants. Le téléphone fera donc aveuglément confiance à toute personne se faisant passer pour un BTS. Cela permet de construire un faux BTS et de lancer des attaques par voie aérienne. Seule la station de base authentifie le téléphone mobile, mais pas l'inverse. Après l'avènement du SDR, il devient clair que maintenant le BTS ne peut plus faire confiance. De nos jours, il est très bon marché de construire une fausse station de base et d'attaquer les téléphones mobiles. Pour cette raison, dans les réseaux 3G et plus récents, l'approche a changé. Désormais, le téléphone mobile, utilisant les clés de la carte SIM, authentifiera généralement la station de base 3G ou plus récente. Cela supprime beaucoup de surfaces d'attaque dans les réseaux 3G et plus récents, qui nécessitent de contourner l'authentification. »
Étant donné que la plupart des bandes de base modernes prennent en charge la 3G et la 4G et que les réseaux utilisent de nouvelles normes (elles sont plus prioritaires), l'attaquant a besoin de techniques supplémentaires qui permettent de rétrograder la méthode de connexion par défaut (jusqu'à 2 G) dans le modem client.
Nuances possibles, et tout de la mise en œuvre spécifique d'une puce.
Après avoir analysé le travail ci-dessus, nous pouvons comprendre qu'en plus des vulnérabilités directes de l'exécution de code à distance, pour le succès d'une attaque sérieuse, en règle générale, des vulnérabilités supplémentaires sont nécessaires qui augmentent les privilèges du système (dans le cas des messageries instantanées) ou conduisent au transfert de l'exécution de code à partir d'une puce périphérique (Wi-Fi , bande de base, etc.) sur le processeur principal (Processeur d'application). Ce n'est qu'en collectant une chaîne de vulnérabilités qu'un compromis complet sur un appareil peut être atteint.
Les vrais incidents de zéro clic sont difficiles à résoudre. Cependant, si vous passez au 1-clic, vous vous souvenez immédiatement de l' attaque utilisant le code Pegasus malveillant, de l'enquête sur "Une plongée très profonde dans les chaînes d'exploitation iOS trouvées dans la nature" et du récent CVE-2019-11932 dans WhatsApp, conduisant à RCE.
Concours Mobile Pwn2own 2019
Les organisateurs des concours pwn2own ont montré de l'intérêt pour de telles attaques, bien qu'avant il n'y avait que des navigateurs et des OS. Ils sont apparus pour la première fois en 2015, et en 2019 à PWN2OWN TOKYO, il y avait des catégories telles que:
- Short Distance: l'attaque a lieu lors de l'interaction via Wi-Fi, Bluetooth, NFC;
- Messagerie: attaque lors de l'affichage ou de la réception de messages MMS ou SMS;
- Bande de base: une attaque se produit lors de l'interaction avec une station de base.
Et parmi les appareils cibles figuraient:
- Xiaomi Mi 9
- Samsung Galaxy S10
- Huawei P30
- Google Pixel 3 XL
- Apple iPhone XS Max
- Oppo F11 Pro (bande de base uniquement)
Selon la catégorie et le but, le prix variait de 30 000 $ à 150 000 $.
Selon les résultats, nous avons l'image suivante:
- Le Samsung Galaxy S10 a été piraté via NFC. Vulnérabilité UaF dans JavaScript JIT;
- Le Samsung Galaxy S10 a été piraté via la bande de base. Débordement de vulnérabilité sur la pile;
- Xiaomi Mi9 a été piraté via NFC. Vulnérabilité XSS.
Oui, toutes les attaques n'étaient pas à zéro clic, mais la tendance est significative.
Exploiter le marché
Les courtiers d'exploit sont également intéressés par le zéro-clic, et ils offrent jusqu'à 3 millions de dollars pour de telles chaînes d'exploit.
Et le prix des autres courtiers.
Recommandations
La seule chose qui peut être conseillée et ce qu'un utilisateur ordinaire est capable de faire est de mettre à jour toutes les mises à jour afin de maintenir le système d'exploitation, le firmware et les applications à jour. Cela minimisera la probabilité d'une attaque réussie.
Conclusion
Les attaques sans clic sont difficiles à mettre en œuvre et, en règle générale, nécessitent le respect d'un certain nombre de conditions, ce qui ne leur donne pas une large diffusion. Cependant, ils peuvent infliger d'énormes dégâts, tout en restant non détectés.
PS Merci veneramuholovka pour l'aide à la préparation du matériel pour l'article!