حمله جدید iLeakage ایمیل‌ها و رمزهای عبور را از سافاری اپل می‌دزدد

محققان دانشگاهی حمله‌ای جدید به نام iLeakage طراحی کرده‌اند که روی تمام دستگاه‌های اخیر اپل اجرایی است و می‌تواند اطلاعات حساس را از مرورگر وب سافاری استخراج کند.

به‌گزارش تک‌ناک، iLeakage اولین نمونه‌ای از حمله‌ی اجرای گمانه‌زنی (Demonstration of a Speculative Execution) علیه پردازنده‌های اپل سیلیکون و مرورگر سافاری است. این حمله با دقت بسیار زیاد اطلاعات را از مرورگر سافاری، فایرفاکس، تور و اج در iOS می‌تواند بازیابی کند.

در اصل، این حمله‌ی Spectre بدون تایمری است که از محافظت‌های استاندارد کانال‌جانبی (Side-Channel) که تمام تولیدکنندگان مرورگرها پیاده‌سازی کرده‌اند، عبور می‌کند.

سرقت اسرار از سافاری

به‌نوشته‌ی بلیپینگ‌کامپیوتر، تیمی از محققان دانشگاه‌های جورجیا تِک و میشیگان و روهر بوخوم iLeakage را توسعه داده‌اند که انعطاف‌پذیری کانال‌جانبی سافاری را بررسی می‌کند و با اجرای روش بدون تایمر و معماری آگنوستیک (مستقل از ساختار)، براساس شرایط رقابتی (Race Conditions)، توانسته است از تدابیر موجود عبور کند.

محققان روی خواندن اطلاعات حساس از سافاری تمرکز کردند و توانستند داده‌ها را با ایجاد نمونه‌ای اولیه بدزدند. این نمونه‌ی اولیه می‌تواند هر نشانگر ۶۴‌بیتی را در فضای آدرسی که مرورگر اپل برای فرایند رندر استفاده می‌کند، بخواند و فاش کند. آن‌ها این امکان را با شکست‌دادن محافظت‌های کانال‌جانبی که Apple (American multinational technology company)  در مرورگر خود پیاده‌سازی کرده است، به‌دست آوردند؛ ازجمله تایمر نه‌چندان با کیفیت و آدرس‌دهی فشرده‌ی ۳۵‌بیتی و مسمومیت ارزش (Value Poisoning).

همچنین، محققان سیاست جداسازی سایت در سافاری را نیز دور زدند که وب‌سایت‌ها را بر‌اساس دامنه‌ی مؤثر سطح‌بالا (eTLD) به‌علاوه‌ی یک زیردامنه، در فضاهای آدرسی متفاوت جدا می‌کند. محققان از تکنیک جدیدی استفاده کردند که با استفاده از window.open API در جاوااسکریپت، به صفحه‌ی مهاجم امکان می‌دهد تا فضای آدرس را با صفحات هدف به‌اشتراک بگذارد.

با استفاده از «سردرگمی نوع گمانه‌زنی» (Speculative Type Confusion) برای عبور از آدرس‌دهی فشرده‌ی ۳۵بیتی و «اقدامات متقابل مسمومیت ارزشی» (Value Poisoning Countermeasures) که اپل پیاده‌سازی کرده است، محققان توانستند از صفحه‌ی هدف مانند رمزهای عبور و ایمیل‌ها، اطلاعات حساس را فاش کنند.

کد اثبات مفهوم حمله در جاوااسکریپت و وب‌آسمبلی (WebAssembly) برای ارائه‌ی محتوای وب پویا به‌کار می‌رود. ویدئو زیر نشان می‌دهد که چگونه با استفاده از حمله‌ی iLeakage، پیام‌های جیمیل در سافاری در حال اجرا روی آیپد بازیابی می‌شوند. شرط اساسی برای اجرای حمله این است که کاربر قربانی با صفحه‌ی مهاجم تعامل برقرار کند.

محققان از همان روشی برای بازیابی رمز‌عبور حساب آزمایشی اینستاگرام استفاده کردند که با استفاده از سرویس مدیریت رمزعبور LastPass در مرورگر وب سافاری به‌صورت خودکار پر شده بود. در تجربه‌ای دیگر، محققان نشان دادند که حملات iLeakage روی مرورگر کروم برای iOS نیز کار می‌کنند و تاریخچه‌ی تماشای یوتوب را می‌توانند بازیابی کنند.

به‌اعتقاد آنان، سیاست اپل باعث می‌شود تمام مرورگرهای iOS یا خود مرورگر سافاری روی آن‌ها قرار گیرند و از موتور جاوااسکریپت مرورگر اپل استفاده کنند. iLeakage بر بهره‌برداری از اجرای حدس‌و‌گمان در تراشه‌های سیلیکون اپل (M1 و M2) تکیه می‌کند؛ جایی که اجرای پیش‌بینی‌کننده‌ی پردازنده، وظایف موردنیاز احتمالی را انجام می‌دهد؛ اما قبل از دانستن این موضوع که آیا آن‌ها مورد‌نیاز هستند یا نه.

این مکانیزم که در تمامی پردازنده‌های مدرن وجود دارد، به‌طرز چشمگیری عملکرد را بهبود می‌بخشد. با‌این‌حال، خطاهای طراحی می‌توانند به انتشار داده منجر شوند؛ درست مانند حملات Meltdown و Spectre که درحدود شش سال پیش فاش شدند. اطلاعات بیشتر درباره‌ی حمله و روش‌های جداگانه‌ی استفاده‌شده برای عبور از اقدامات کاهش‌دهنده‌ی اپل، در مقاله‌ی فنی محققان دردسترس است.

نکات ضربه‌ای و دفاعی

iLeakage بر تمام دستگاه‌های اپلی که از سال ۲۰۲۰ به‌بعد عرضه شده‌اند و به پردازنده‌های ARM سری A و M اپل مجهزند، تأثیر می‌گذارد. حمله‌ی iLeakage را اصلاً نمی‌توان تشخیص دارد و به‌جز ورودی‌ای احتمالی از صفحه‌ی مهاجم در حافظه‌ی نهان مرورگر، هیچ اثری بر سیستم قربانی به‌صورت لاگ‌ها باقی نمی‌گذارد.

باوجوداین‌، محققان بیان می‌کنند که اجرای این حمله مشکل است و به دانش پیشرفته درباره‌ی حملات کانل‌جانبی مبتنی‌بر مرورگر و پیاده‌سازی سافاری نیاز دارد. iLeakage در ۱۲‌سپتامبر۲۰۲۲ به‌صورت خصوصی به اپل گزارش شد و شرکت برای macOS کاهش‌دهنده‌های زیر را توسعه داد:

1. در Terminal، عبارت «defaults write com.apple.Safari IncludeInternalDebugMenu 1» را اجرا کنید تا منوِ اشکال‌زدایی پنهان سافاری فعال شود.
2. سافاری را باز کنید و به منوِ اشکال‌زدایی جدید بروید.
3. بخش «WebKit Internal Features» را انتخاب کنید.
4. به پایین بروید و گزینه‌ی «Swap Processes on Cross-Site Window Open» را فعال کنید.

این کاهش همراه با هشداری می‌آید که ممکن است پایداری را به‌خطر بیندازد. اگر کاربران می‌خواهند آن را غیرفعال کنند، از منوِ اشکال‌زدایی با اجرای دستور «defaults write com.apple.Safari IncludeInternalDebugMenu 0» در ترمینال می‌توانند آن را انجام دهند.

علاوه‌بر تأثیرات واقعی iLeakage، این تحقیق نکاتی را بیان می‌کند که خطرهای اجرای حدس‌و‌گمان را در آن دسته از پلتفرم‌های ARM را برجسته می‌سازد که به‌اندازه‌ی معماری x86 بررسی نشده‌اند.