В минувший вторник Google раскрыла детали недавно пропатченной уязвимости в WiFi-чипах производства Broadcom. Атака на эту брешь (CVE-2017-11120) позволяет выполнить код и обеспечить постоянное присутствие на мобильном устройстве.

«Эксплойт WiFi-прошивки открывает возможность для исполнения кода на iPhone 7, — пишет участник Google Project Zero Гэл Беньямини (Gal Beniamini), комментируя отчет об уязвимости. — В случае успеха в прошивку внедряется бэкдор, позволяющий удаленно подавать команды на чтение/запись с помощью особых кадров программы действий (и, следовательно, с легкостью управлять WiFi-чипом на расстоянии)».

Беньямини опробовал PoC-эксплойт на iOS 10.2 и уверен, что тот будет работать на всех сборках этой ОС вплоть до 10.3.3 (включительно). Со слов исследователя, данной уязвимости подвержен чипсет BCM4355C0 с прошивкой версии 9.44.78.27.0.1.56.

Apple характеризует CVE-2017-11120 как баг порчи памяти; заплатка для этой бреши была включена в состав iOS 11.

Чипы производства Broadcom используются в iPhone и других продуктах Apple, в том числе в Apple TV и Apple Watch. Они также присутствуют в Anroid-гаджетах; Google устранила CVE-2017-11120 в начале текущего месяца. В отчете Беньямини сказано, что помимо мобильных устройств WiFi-чипы от Broadcom используются в беспроводных роутерах — для управления событиями «без делегирования ОС хост-машины».

Заметим, уязвимость CVE-2017-11120 несколько напоминает Broadpwn, которую летом латали Google и Apple и о которой поведал на Black Hat Нитай Артенштейн (Nitay Artenstein) из Exodus Intelligence. Брешь Broadpwn (CVE-2017-3544) тоже привязана к WiFi-чипсетам Broadcom и позволяет удаленно скомпрометировать устройство без взаимодействия с пользователем — в своем отчете о находке Артенштейн назвал это большой редкостью.

По мнению исследователя, подобные атаки возможны из-за того, что чипы Broadcom для мобильных устройств не имеют ASLR-защиты, а права доступа к ОЗУ позволяют читать и записывать данные, а также запускать код, используя любую область памяти. На тот момент в прошивке отсутствовала проверка на целостность, и автор атаки мог без особого труда пропатчить прошивку или заменить ее вредоносной версией.

Категории: Аналитика, Уязвимости