Analisis keamanan pertama dari fungsi Find My iOS telah mengidentifikasi permukaan serangan baru yang memungkinkan untuk mengutak-atik firmware dan memuat malware ke chip Bluetooth yang dijalankan saat iPhone “mati”.
Mekanisme ini memanfaatkan fakta bahwa chip nirkabel yang terkait dengan Bluetooth, Near-field communication (NFC), dan ultra-wideband (UWB) terus beroperasi saat iOS dimatikan saat memasuki “cadangan daya” Low Power Mode (LPM) .
Sementara ini dilakukan untuk mengaktifkan fitur seperti Temukan Saya dan memfasilitasi transaksi Kartu Ekspres, ketiga chip nirkabel memiliki akses langsung ke elemen aman, kata akademisi dari Secure Mobile Networking Lab (SEEMOO) di Universitas Teknik Darmstadt dalam sebuah kertas.
“Chip Bluetooth dan UWB tertanam ke Elemen Aman (SE) di chip NFC, menyimpan rahasia yang seharusnya tersedia di LPM,” kata para peneliti.
“Karena dukungan LPM diimplementasikan di perangkat keras, itu tidak dapat dihapus dengan mengubah komponen perangkat lunak. Akibatnya, pada iPhone modern, chip nirkabel tidak dapat lagi dipercaya untuk dimatikan setelah dimatikan. Ini menimbulkan model ancaman baru.”
Temuan ini akan dipresentasikan pada Konferensi ACM tentang Keamanan dan Privasi di Jaringan Nirkabel dan Seluler (WiSec 2022) minggu ini.
Fitur LPM, yang baru diperkenalkan tahun lalu dengan iOS 15, memungkinkan untuk melacak perangkat yang hilang menggunakan jaringan Temukan Saya bahkan saat kehabisan daya baterai atau telah dimatikan. Perangkat saat ini dengan dukungan Ultra-wideband termasuk iPhone 11, iPhone 12, dan iPhone 13.
Sebuah pesan yang ditampilkan saat mematikan iPhone berbunyi sebagai berikut: “iPhone tetap dapat ditemukan setelah dimatikan. Cari Milik Saya membantu Anda menemukan iPhone ini saat hilang atau dicuri, bahkan saat dalam mode cadangan daya atau saat dimatikan.”
Menyebut implementasi LPM saat ini “buram”, para peneliti tidak hanya kadang-kadang mengamati kegagalan saat menginisialisasi iklan Temukan Saya selama mati, secara efektif bertentangan dengan pesan yang disebutkan di atas, mereka juga menemukan bahwa firmware Bluetooth tidak ditandatangani atau dienkripsi.
Dengan memanfaatkan celah ini, musuh dengan akses istimewa dapat membuat malware yang mampu dieksekusi pada chip Bluetooth iPhone bahkan saat dimatikan.
Namun, agar kompromi firmware seperti itu terjadi, penyerang harus dapat berkomunikasi dengan firmware melalui sistem operasi, memodifikasi gambar firmware, atau mendapatkan eksekusi kode pada chip yang mendukung LPM secara over-the-air dengan mengeksploitasi kelemahan seperti BrakTooth.
Dengan kata lain, idenya adalah untuk mengubah utas aplikasi LPM untuk menyematkan malware, seperti yang dapat memperingatkan pelaku jahat dari siaran Find My Bluetooth milik korban, memungkinkan pelaku ancaman untuk mengawasi target dari jarak jauh.
“Alih-alih mengubah fungsi yang ada, mereka juga dapat menambahkan fitur yang sama sekali baru,” peneliti SEEMOO menunjukkan, menambahkan bahwa mereka secara bertanggung jawab mengungkapkan semua masalah ke Apple, tetapi raksasa teknologi itu “tidak memiliki umpan balik.”
Dengan fitur-fitur terkait LPM yang mengambil pendekatan yang lebih tersembunyi untuk melaksanakan kasus penggunaan yang dimaksudkan, SEEMOO meminta Apple untuk menyertakan sakelar berbasis perangkat keras untuk melepaskan baterai guna mengurangi kekhawatiran pengawasan yang dapat timbul dari serangan tingkat firmware.
“Karena dukungan LPM didasarkan pada perangkat keras iPhone, itu tidak dapat dihapus dengan pembaruan sistem,” kata para peneliti. “Dengan demikian, ini memiliki efek jangka panjang pada model keamanan iOS secara keseluruhan.”
“Desain fitur LPM tampaknya sebagian besar didorong oleh fungsionalitas, tanpa mempertimbangkan ancaman di luar aplikasi yang dimaksud. Temukan Saya setelah matikan mematikan iPhone menjadi perangkat pelacak berdasarkan desain, dan implementasi dalam firmware Bluetooth tidak diamankan dari manipulasi.”