Tanıtım
Yakın zamanda Independent Security Evaluators’dan güvenlik uzmanı Charlie Miller ile, yakın zamanda açıklanan ve kötü niyetli bir bilgisayar korsanının bir dizi özenle hazırlanmış SMS mesajı aracılığıyla bir iPhone’un kontrolünü ele geçirmesine izin verecek olan iPhone güvenlik açığı hakkında sohbet ettik.
Alan: Sohbet etmek için zaman ayırdığın için teşekkürler Charlie. Neden bize SMS güvenlik açığından biraz bahsederek başlamıyorsunuz?
Charlie: iPhone hatası, telefona belirli miktarda veri olduğunu söylemek ve ardından bunu söylediğiniz kadar göndermemekle ilgili. Verileri okuyan işlev, bir hatayı belirtmek için -1 döndürmeye başlar, ancak programın diğer bölümleri bu hatayı kontrol etmez ve aslında -1’in mesajdaki veri olduğunu düşünür. Bu, güvenli kod yazmanın ne kadar karmaşık olabileceğini gösterir, çünkü programın her parçası ayrı ayrı doğru görünür, ancak etkileşim biçimleri tehlikelidir!
Her neyse, ne gönderdiğinize bağlı olarak farklı kötü şeyler olabilir. Bir noktada, -1 bayt ayırmak üzere olduğu için çıkmasını sağlayabilirsiniz (0xffffffff – çok büyük bir sayı olarak görülür). Bu, telefonu geçici olarak ağdan kesecek bir hizmet reddidir.
BlackHat konuşmam sırasında, seyircilerden bir gönüllüye onu ağdan uzak tutmak için her 10 saniyede bir bu hizmet reddi mesajını göndermeye devam ettik. Talihsiz bir sonuç olarak, mesajlar ağda toplanıyordu ve konuşmadan saatler sonra telefonu hala çalıyordu. O zamandan beri tekrar ayağa kalktı ve koşmaya başladı.
Alan: Okurlarımıza not: Charlie bir gönüllüye ihtiyacı olduğunu söylediğinde göz teması kurmayın. Peki, mesajı nasıl gönderdin? Başka bir iPhone’un SMS arayüzü üzerinden mi gönderiyordunuz yoksa “telefon numarası@attwireless ” yaklaşımını e-posta ile göndermek gibi bir şey mi yapıyordunuz?
Charlie: SMS’i taşıyıcı ağ üzerinden göndermek için, saldırı iPhone’umuzda GSM AT komutlarını kullanarak modemle konuşacak küçük bir uygulamamız vardı. Hataları test etmek ve bulmak için, yardımcı sunucum Collin Mulliner’ın yazdığı, SMS mesajı uygulamalarını yalnızca TCP üzerinden veri göndererek test etmenize olanak tanıyan bu gerçekten harika enjeksiyon çerçevesini kullandık. Bu, operatör ağı üzerinden veri göndermek zorunda kalmanızı önler ve herhangi bir maliyeti yoktur ve ayrıca birçok mesajı çok hızlı bir şekilde test etmenize olanak tanır.
Alan: Peki bir hizmet reddinden tam bir istismara nasıl geçersiniz?
Charlie: En kötü durum, programın sıralı mesajları nasıl ele aldığıyla ilgili. Bu, bir seferde 140 bayttan fazlasını göndermenin bir yoludur. Bir dizi mesaj halinde uzun bir mesaj gönderebilirsiniz ve telefon bunu tek bir uzun dize halinde yeniden oluşturacaktır. Verilerden bir değere dayalı olarak bir diziye erişir. -1 okuduğunu düşündüğü durumda aslında dizide değil diziden önceki belleğe erişir. İşleri doğru bir şekilde ayarlayarak ve aldatıcı davranarak, cihazın tam kontrolünü elde etmek için bundan gerçekten yararlanabilirsiniz.
Saldırının tamamı 500’den fazla mesaj alıyor, ancak kurban telefonda görünmediği için gönderildiklerini bilmiyor. Bu mesajların çoğu, işleri “tam doğru” olarak ayarlamakla ilgilidir. On altı tanesi diziye gerçekten sınırların dışında erişiyor.
