Des chercheurs conçoivent un logiciel malveillant pour iPhone qui s'exécute même lorsque l'appareil est éteint

La recherche est en grande partie théorique mais expose un problème de sécurité négligé

Lorsque vous éteignez un iPhone, il ne s'éteint pas complètement. Les puces à l'intérieur de l'appareil continuent de fonctionner en mode basse consommation, ce qui permet de localiser les appareils perdus ou volés à l'aide de la fonction "Localiser" ou d'utiliser des cartes de crédit et des clefs de voiture après l'épuisement de la batterie. Les chercheurs ont maintenant trouvé un moyen d'abuser de ce mécanisme permanent pour exécuter des logiciels malveillants qui restent actifs même lorsqu'un iPhone semble être éteint.

Il s'avère que la puce Bluetooth de l'iPhone, qui est essentielle pour créer des fonctionnalités telles que Find My work, ne dispose d'aucun mécanisme pour signer numériquement ou même chiffrer le micrologiciel qu'il exécute. Des universitaires de l'Université technique allemande de Darmstadt ont découvert comment exploiter ce manque de durcissement pour exécuter un micrologiciel malveillant qui permet à l'attaquant de suivre l'emplacement du téléphone ou d'exécuter de nouvelles fonctionnalités lorsque l'appareil est éteint :

« Nous avons analysé comment Apple implémente ces fonctionnalités sans fil autonomes, fonctionnant pendant qu'iOS n'est pas en cours d'exécution, et ont tenté de déterminer leurs limites de sécurité. Sur les iPhone récents, Bluetooth, Near Field Communication (NFC) et Ultra-wideband (UWB) continuent de fonctionner après la mise hors tension, et les trois puces sans fil ont un accès direct à l'élément sécurisé. Comme exemple pratique de ce que cela signifie pour la sécurité, nous démontrons la possibilité de charger des logiciels malveillants sur une puce Bluetooth qui s'exécute lorsque l'iPhone est éteint.

Cette vidéo donne un aperçu de certaines des façons dont une attaque peut fonctionner.


La recherche est la première, ou du moins parmi les premières, à étudier le risque posé par les puces fonctionnant en mode basse consommation. À ne pas confondre avec le mode basse consommation d'iOS pour préserver la durée de vie de la batterie, le mode basse consommation (LPM) de cette recherche permet aux puces responsables de la communication en champ proche, de l'ultra large bande et du Bluetooth de fonctionner dans un mode spécial qui peut rester allumé pendant 24 heures après l'arrêt d'un appareil.

« L'implémentation actuelle de LPM sur les iPhone d'Apple est opaque et ajoute de nouvelles menaces », ont écrit les chercheurs dans un article publié la semaine dernière. « Étant donné que la prise en charge de LPM est basée sur le matériel de l'iPhone, elle ne peut pas être supprimée avec les mises à jour du système. Ainsi, il a un effet durable sur le modèle de sécurité global d'iOS. À notre connaissance, nous sommes les premiers à avoir examiné les fonctionnalités LPM non documentées introduites dans iOS 15 et à découvrir divers problèmes ».

Ils ont ajouté : « La conception des fonctionnalités LPM semble être principalement axée sur la fonctionnalité, sans tenir compte des menaces extérieures aux applications prévues. Find My, après la mise hors tension, transforme les iPhone éteints en dispositifs de suivi de par leur conception, et la mise en œuvre dans le micrologiciel Bluetooth n'est pas protégée contre la manipulation ».

Les résultats ont une valeur réelle limitée puisque les infections nécessitaient un iPhone jailbreaké, ce qui en soi est une tâche difficile, en particulier dans un contexte contradictoire. Pourtant, cibler la fonctionnalité toujours active d'iOS pourrait s'avérer utile dans les scénarios post-exploitation par des logiciels malveillants tels que Pegasus, l'outil d'exploitation sophistiqué pour smartphone du groupe NSO basé en Israël, que les gouvernements du monde entier utilisent régulièrement pour espionner leurs adversaires.

Il peut également être possible d'infecter les puces au cas où des pirates découvriraient des failles de sécurité susceptibles d'être exploitées en direct comme Key Negotiation of Bluetooth qui fonctionnait contre les appareils Android.


Pour mémoire, en 2019, des chercheurs ont démontré une grave faiblesse dans la norme sans fil Bluetooth qui pourrait permettre aux pirates d'intercepter les frappes au clavier, les carnets d'adresses et d'autres données sensibles envoyées par des milliards d'appareils.

Surnommée Key Negotiation of Bluetooth (ou KNOB en abrégé), l'attaque oblige deux appareils ou plus à choisir une clef de chiffrement d'un seul octet avant d'établir une connexion Bluetooth. Les attaquants à portée radio peuvent alors utiliser du matériel de base pour déchiffrer rapidement la clef. À partir de là, les attaquants peuvent utiliser la clef craquée pour déchiffrer les données passant entre les appareils. Les types de données sensibles peuvent inclure des frappes entre un clavier sans fil et un ordinateur, des carnets d'adresses téléchargés depuis un téléphone vers un tableau de bord de voiture ou des photographies échangées entre téléphones.

KNOB n'exige pas qu'un attaquant dispose de matériel secret précédemment partagé ou qu'il observe le processus d'appariement des appareils ciblés. L'exploit est invisible pour les applications Bluetooth et les systèmes d'exploitation sur lesquels elles s'exécutent, ce qui rendait l'attaque presque impossible à détecter sans équipement hautement spécialisé. KNOB exploite également une faiblesse de la norme Bluetooth elle-même. Cela signifie, selon toute vraisemblance, que la vulnérabilité affecte à peu près tous les appareils conformes à la spécification. Les chercheurs ont simulé l'attaque sur 14 puces Bluetooth différentes, y compris celles de Broadcom, Apple et Qualcomm, et les ont toutes trouvées vulnérables.

« L'attaque Key Negotiation Of Bluetooth (KNOB) exploite une vulnérabilité au niveau architectural de Bluetooth », ont écrit les chercheurs. « Le protocole de négociation de clef de chiffrement vulnérable met potentiellement en danger tous les appareils Bluetooth conformes aux normes, quels que soient leur numéro de version Bluetooth et les détails de leur implémentation. Nous pensons que le protocole de négociation de clef de chiffrement doit être corrigé dès que possible ».

En plus de permettre aux logiciels malveillants de s'exécuter lorsque l'iPhone est éteint, les exploits ciblant LPM pourraient également permettre aux logiciels malveillants de fonctionner de manière beaucoup plus discrète, car LPM permet au micrologiciel d'économiser l'énergie de la batterie. Et bien sûr, les infections de micrologiciels sont déjà extrêmement difficiles à détecter en raison de l'expertise importante et des équipements coûteux nécessaires pour le faire.

Les chercheurs ont déclaré que les ingénieurs d'Apple avaient examiné leur article avant sa publication, mais que les représentants de l'entreprise n'avaient jamais fourni de commentaires sur son contenu.

En fin de compte, Find My et d'autres fonctionnalités activées par LPM aident à fournir une sécurité supplémentaire, car elles permettent aux utilisateurs de localiser les appareils perdus ou volés et de verrouiller ou déverrouiller les portes des voitures même lorsque les batteries sont épuisées. Mais la recherche révèle une épée à double tranchant qui, jusqu'à présent, est passée largement inaperçue.

« Les attaques matérielles et logicielles similaires à celles décrites se sont avérées pratiques dans un environnement réel, de sorte que les sujets abordés dans ce document sont opportuns et pratiques », a noté John Loucaides, vice-président senior de la stratégie de la société de sécurité des micrologiciels Eclypsium. « C'est typique pour chaque appareil. Les fabricants ajoutent constamment des fonctionnalités et chaque nouvelle fonctionnalité s'accompagne d'une nouvelle surface d'attaque ».

Sources : Evil Never Sleeps : When Wireless Malware Stays On After Turning Off iPhone, KNOB

Et vous ?

Qu'en pensez-vous ?