Рубрика #трибуна
Интересная история происходит сейчас на приставочной хакерской сцене.
Как вы возможно слышали 3 марта 2017 вышла новая игровая приставка Nintendo Switch. Выход приставки привлек внимание множества хакеров.
Мне, как человеку связанному с ИБ, очень интересно наблюдать как шаг за шагом происходит взлом абсолютно новой системы, о внутреннем строении которой хакерам практически ничего не известно.
Всё началось с того что хакеры научились выполнять свой JavaScript код на приставке чуть ли не в первый день её выхода. Если вы не знаете, то на приставке Nintendo Switch нет официального приложения браузер, хотя в самой операционной системе, конечно же, есть браузер. Для того чтобы выполнять свой JavaScript код внутри браузера, хакеры создают captive-порталы, которые перенаправляют пользователя на уже на нужную веб-страницу. Captive-портал это портал для дополнительный веб-авторизации при подключении к WiFi точке, очень часто такие порталы используются в гостиницах.
На Nintendo Switch выглядит это примерно так:
https://www.youtube.com/watch?v=pTN0lZU_ktMТаким образом хакеры выяснили что браузер работает на движке WebKit.
Буквально сегодня, известный iOS хакер Luca Todesco опубликовал у себя в твиттере подтверждение взлома движка браузере:
https://twitter.com/qwertyoruiopz/status/840406087568392192О полном джейлбреке говорить еще рано, но однозначно первый шаг уже сделан - хакеру удалось получить полный доступ к usermode части операционной системы, если говорить более конкретно, то хакер может запускать любой нативный ARM-код внутри браузера.
Очень интересна техническая сторона взлома. Все дело в том, что Nintendo не запатчила знаменитую Memory Corruption уязвимость CVE-2016-4657 для WebKit.
Напомню, что именно эта уязвимость, в связке с другими уязвимостями, использовались во вредоносном программном обеспечении Pegasus для iOS 9.3.3.
На тот момент вся цепочка уязвимостей была самым настоящим 0day, и чтобы заразить свой iPhone или другое iOS устройство жертве было достаточно перейти по вредоносной ссылке.
Такие ссылки и рассылали гражданским активистам в Арабских Эмиратах, о чем написала организация CitizenLabs:
https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/Саму уязвимость и вредонос Pegasus препарировали и разобрали по кусочкам во многих местах:
https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdfhttps://speakerdeck.com/mbazaliy/pegasus-internalshttps://sektioneins.de/en/blog/16-09-02-pegasus-ios-kernel-vulnerability-explained.htmlhttps://sektioneins.de/en/blog/16-09-05-pegasus-ios-kernel-vulnerability-explained-part-2.htmlТак вот та же самая уязвимость WebKit, с небольшими изменениями позволила Switch-хакерам получить полный доступ к коду внутри браузера.
Пока не понятно насколько изолированы процессы внутри самой операционной системы, нужно ли будет хакерам искать уязвимость в ядре ОС, чтобы получить полный доступ ко всему.
Но как я уже сказал, наблюдать за всем этим крайне интересно. В особенности, интересно видеть как все вещи в ИБ достаточно взаимосвязаны между собой и уязвимость в WebKit для iOS может быть переделана и использована для игровой приставки.
Материал прислал Антон Черепанов.