Zimperium Análisis de checkm8 – Zimperium

Análisis Zimperium de checkm8

¿Puedes explicar qué es checkm8?

El viernes 27 de septiembre de 2019, un investigador de seguridad conocido como @axi0mX reveló públicamente una vulnerabilidad junto con un exploit funcional llamado checkm8 (léase «jaque mate»). Este exploit permanente y sin parches aprovecha una vulnerabilidad en el bootrom de Apple (código de solo lectura; SecureROM), la parte inicial y crítica en la cadena de arranque seguro. Cada etapa de la cadena de arranque verifica criptográficamente la siguiente, comenzando con SecureROM. Cuando se explota el SecureROM, la cadena de arranque seguro se ve completamente comprometida, lo que permite que el código adicional cargue código alternativo, como kernels personalizados o ramdisks.

1674140138 25 Zimperium Analisis de checkm8 Zimperium

¿Es checkm8 un Jailbreak?

Checkm8 es un exploit y no un jailbreak. De hecho, es posible aprovechar Checkm8 para cargar kernels personalizados o modificados y admitir capacidades adicionales de jailbreak o aplicaciones descargadas, pero hasta ahora esto no se ha logrado públicamente. Dado que el exploit en sí no persiste después de reiniciar el dispositivo, la persistencia y otras modificaciones críticas requerirían vulnerabilidades adicionales en iOS o su kernel.

¿Qué dispositivos están afectados?

Checkm8 no discrimina qué tipo de dispositivo o revisión puede explotar (conjuntos de chips A5 y A11). A continuación se muestran los siguientes iDevices afectados por checkm8:

  • iPhone: Los iPhones a partir del iPhone 4S (chip A5 de Apple) y hasta el iPhone X (chipset A11 de Apple) inclusive son vulnerables. Apple XR hasta el reciente iPhone 11 no se ven afectados, ya que estos dispositivos utilizan los conjuntos de chips A12 y A13 de Apple, que no contienen el código de solo lectura explotable que se encuentra en el bootrom.
    • Para los dispositivos más nuevos que usan Secure Enclave de Apple, los datos de un usuario están protegidos ya que se requiere un PIN para acceder a los datos en el dispositivo. (TEste no es el caso de los dispositivos más antiguos de 32 bits como iPhone 4S, iPhone 5 o iPhone 5c que no tienen un enclave seguro. Para aquellos, la fuerza bruta sin restricciones es posible).
  • iPad: Dispositivos iPad desde el iPad 2 (A5 SoC) hasta el iPad Pro de segunda generación (A10X SoC), y recientemente verificado, el último iPad de 10,2 pulgadas (A10 SoC).
  • iPod: modelos de iPod touch hasta los dispositivos de séptima generación más recientes, inclusive.
  • Apple TV: Apple TV hasta Apple TV 4K
  • reloj de manzana: Apple Watch hasta el reloj Serie 3 incluido.

¿Qué se requiere para utilizar este exploit?

Para aprovechar el exploit checkm8, se requiere lo siguiente:

  1. Acceso físico al dispositivo.
  2. El dispositivo debe ponerse en modo DFU (Actualización de firmware del dispositivo), un modo de configuración diseñado para realizar la recuperación del firmware de los dispositivos Apple. Para habilitar el modo DFU, una persona debe presionar una combinación de botones de hardware en el dispositivo.
  3. Una computadora (PC / Mac) y una conexión de cable físico (es decir, USB). Checkm8 NO se puede activar de forma remota o directamente desde el sistema operativo en ejecución.

¿Cuál es el significado y cómo podría un atacante aprovechar este exploit?

Un objetivo común de un atacante es ganar persistencia en los sistemas comprometidos para garantizar el control continuo, la exfiltración de datos y la supervisión del uso del usuario, las aplicaciones y los dispositivos y los datos asociados (es decir, SMS, mensajería instantánea, archivos, etc.).

Para que un atacante obtenga la persistencia necesaria mientras mantiene intacta la cadena de arranque segura, se requerirían vulnerabilidades adicionales, por ejemplo, vulnerabilidades para eludir la firma de código para la ejecución inicial de código arbitrario en el arranque.

Otra, y la superficie de ataque más probable para que un atacante gane persistencia, es reemplazar las aplicaciones legítimas (el dispositivo debería desbloquearse con el código de acceso del usuario) con aplicaciones modificadas pero firmadas legítimamente que proporcionarían un punto de apoyo en el dispositivo para permitir que los datos exfiltración o para realizar otras acciones maliciosas.

Checkm8 por sí solo no es un exploit persistente. Si el dispositivo se reinicia, el dispositivo deberá colocarse en modo DFU, y el exploit checkm8 deberá ejecutarse todas y cada una de las veces para comprometer el dispositivo.

¿Cómo puede ayudar Zimperium a evaluar y mitigar el riesgo?

Checkm8 tiene el potencial de proporcionar un amplio lienzo para el ataque, el compromiso y la persistencia continua de los dispositivos Apple. Para evaluar la postura de riesgo de un dispositivo, es importante aprovechar una solución MTD como Zimperium que puede detectar, responder y remediar amenazas en las siguientes áreas:

  • Detección avanzada de jailbreak
  • Instalación de un SO Vulnerable/Obsoleto con fines de jailbreak
  • Instalación de perfil sospechoso (utilizado para acceder o instalar código fuera de la tienda de aplicaciones de Apple)
  • Detección de aplicaciones cargadas localmente
  • Modificaciones del sistema de archivos
  • Explotación del sistema operativo
  • Intentos de ocultar la explotación o manipular las aplicaciones instaladas

Deja un comentario