Un análisis de seguridad de la función Find My de iOS, el primero de su clase, ha identificado una nueva superficie de ataque que permite manipular el firmware y cargar malware en un chip Bluetooth que se ejecuta mientras un iPhone está «apagado».
El mecanismo aprovecha el hecho de que los chips inalámbricos relacionados con Bluetooth, la comunicación de campo cercano (NFC) y la banda ultraancha (UWB) siguen funcionando mientras iOS está apagado al entrar en un modo de bajo consumo (LPM) de «reserva de energía».
Aunque esto se hace para habilitar funciones como Find My y facilitar las transacciones con la tarjeta Express, los tres chips inalámbricos tienen acceso directo al elemento seguro, señalan los académicos del Laboratorio de Redes Móviles Seguras (SEEMOO) de la Universidad Técnica de Darmstadt en un documento titulado «El mal nunca duerme».
«Los chips Bluetooth y UWB están conectados al Elemento Seguro (SE) en el chip NFC, almacenando secretos que deberían estar disponibles en LPM», dicen los investigadores.
«Como el soporte de LPM está implementado en el hardware, no puede eliminarse cambiando los componentes de software. Como resultado, en los iPhones modernos, ya no se puede confiar en que los chips inalámbricos se apaguen tras el apagado. Esto plantea un nuevo modelo de amenaza».
Los resultados se presentarán esta semana en la Conferencia ACM sobre Seguridad y Privacidad en Redes Inalámbricas y Móviles (WiSec 2022).
Las funciones LPM, recién introducidas el año pasado con iOS 15, permiten rastrear dispositivos perdidos mediante la red Find My incluso cuando se han quedado sin batería o se han apagado. Los dispositivos actuales con soporte de banda ultraancha incluyen el iPhone 11, el iPhone 12 y el iPhone 13.
Un mensaje que aparece al apagar los iPhones dice así: «El iPhone sigue siendo localizable después de apagarlo. Find My te ayuda a localizar este iPhone cuando lo pierdes o te lo roban, incluso cuando está en modo de reserva de energía o cuando está apagado.»
Calificando de «opaca» la actual implementación de LPM, los investigadores no sólo observaron a veces fallos al inicializar los anuncios de Find My durante el apagado, contradiciendo de hecho el mensaje mencionado, sino que también descubrieron que el firmware de Bluetooth no está firmado ni cifrado.
Aprovechando esta laguna, un adversario con acceso privilegiado puede crear un malware capaz de ejecutarse en el chip Bluetooth del iPhone incluso cuando está apagado.
Sin embargo, para que se produzca un compromiso de este tipo en el firmware, el atacante debe ser capaz de comunicarse con el firmware a través del sistema operativo, modificar la imagen del firmware o conseguir la ejecución de código en un chip habilitado para LPM de forma inalámbrica explotando fallos como BrakTooth.
Dicho de otro modo, la idea es alterar el hilo de la aplicación LPM para incrustar malware, como los que podrían alertar al actor malicioso de las transmisiones de Find My Bluetooth de la víctima, lo que permitiría al actor de la amenaza mantener un control remoto del objetivo.
«En lugar de cambiar la funcionalidad existente, también podrían añadir características completamente nuevas», señalaron los investigadores de SEEMOO, añadiendo que revelaron responsablemente todos los problemas a Apple, pero que el gigante tecnológico «no tuvo respuesta».
Dado que las funciones relacionadas con el LPM adoptan un enfoque más sigiloso para llevar a cabo sus casos de uso previstos, SEEMOO pidió a Apple que incluyera un interruptor basado en el hardware para desconectar la batería con el fin de aliviar cualquier preocupación de vigilancia que pudiera surgir de los ataques a nivel de firmware.
«Dado que la compatibilidad con el LPM se basa en el hardware del iPhone, no puede eliminarse con las actualizaciones del sistema», afirman los investigadores. «Por lo tanto, tiene un efecto duradero en el modelo general de seguridad de iOS».
«El diseño de las características de LPM parece estar impulsado principalmente por la funcionalidad, sin tener en cuenta las amenazas fuera de las aplicaciones previstas». Find My after power off convierte los iPhones apagados en dispositivos de rastreo por diseño, y la implementación dentro del firmware de Bluetooth no está asegurada contra la manipulación.»