Introduction
Nous avons récemment discuté avec l’expert en sécurité Charlie Miller d’Independent Security Evaluators de la vulnérabilité iPhone récemment révélée qui aurait permis à un pirate malveillant de prendre le contrôle d’un iPhone via une série de messages SMS soigneusement conçus.
Alan : Merci d’avoir pris le temps de discuter, Charlie. Pourquoi ne pas commencer par nous parler un peu de la vulnérabilité SMS ?
Charlie : Le bogue de l’iPhone a à voir avec le fait de dire au téléphone qu’il y a une certaine quantité de données, puis de ne pas les envoyer autant que vous l’aviez dit. La fonction qui lit les données commence à renvoyer -1 pour indiquer une erreur, mais les autres parties du programme ne vérifient pas cette erreur et pensent en fait que le -1 est une donnée du message. Cela montre à quel point il peut être complexe d’écrire du code sécurisé, car séparément, chaque partie du programme semble correcte, mais la façon dont elles interagissent est dangereuse !
Quoi qu’il en soit, selon ce que vous envoyez, différentes mauvaises choses peuvent arriver. À un moment donné, vous pouvez le faire sortir car il est sur le point d’allouer -1 octets (ce qui est considéré comme 0xffffffff – un très grand nombre). Il s’agit d’un déni de service qui coupera temporairement le téléphone du réseau.
Pendant ma conférence BlackHat, nous avons continué à envoyer ce message de déni de service toutes les 10 secondes à un volontaire du public pour le tenir hors du réseau. En conséquence malheureuse, les messages étaient repérés sur le réseau et son téléphone était toujours éteint des heures après la conversation. Depuis, il s’est remis en marche.
Alan : Note à nos lecteurs : chaque fois que Charlie dit qu’il a besoin d’un bénévole, ne le regardez pas dans les yeux. Alors, comment avez-vous envoyé le message ? L’ envoyiez-vous via l’interface SMS d’un autre iPhone ou faisiez-vous quelque chose comme envoyer par e-mail l’approche » numéro de téléphone@attwireless » ?
Charlie : Pour envoyer le SMS sur le réseau de l’opérateur, nous avions une petite application sur notre iPhone d’attaque qui parlait au modem à l’aide des commandes GSM AT. Pour tester et trouver les bogues, nous avons utilisé ce cadre d’injection vraiment cool que mon co-présentateur Collin Mulliner a écrit, qui vous permet de tester les implémentations de messages SMS en envoyant uniquement des données via TCP. Cela vous évite d’avoir à envoyer des données sur le réseau de l’opérateur et ne coûte rien, et vous permet également de tester très rapidement de nombreux messages.
Alan : Alors, comment passer d’un déni de service à un véritable exploit ?
Charlie : Le pire des cas a à voir avec la façon dont le programme gère les messages concaténés. C’est un moyen d’envoyer plus de 140 octets à la fois. Vous pouvez envoyer un long message dans une série de messages et le téléphone le reconstruira en une longue chaîne. Il accède à un tableau basé sur une valeur des données. Dans le cas où il pense lire -1, il accède en fait à la mémoire avant le tableau, pas dans le tableau. En configurant les choses correctement et en étant délicat, vous pouvez en tirer parti pour obtenir un contrôle complet de l’appareil.
L’attaque entière prend un peu plus de 500 messages, bien que la victime ne sache pas qu’ils sont envoyés car ils ne se présentent pas au téléphone. La plupart de ces messages concernent la mise en place « juste comme il faut ». Seize d’entre eux accèdent en fait au réseau hors limites.
