Команда разработчиков Kaspersky выступила на конференции 37c3 и рассказала об обходе KTRR для устройств arm64e (A12-A16 и может даже A17). В этой статье мы вкратце расскажем о том, что обнаружили разработчики, но при желании вы можете посмотреть запись презентации.
Команда, состоящая из Бориса Ларина, Леонида Безвершенко и Георгия Кучерина поделилась интересным рассказом о том, как они с коллегами подверглись атаке вредоносного ПО, и как им удалось защититься.
Разработчики заметили странность в виде внезапных коммуникаций с и на iOS-устройства, подключенные к их Wi-Fi сети, и решили изучить проблему. Так они обнаружили факт атаки, которая осуществлялась через сервис iMessage.
Злоумышленники попытались замести свои следы, удалив их из iMessage, но они совершили фатальную ошибку, удалив не все следы.
Затем команда Kaspersky настроила сервер для перехвата трафика, который в следствии можно было бы проанализировать. Таким образом разработчики заполучили e-mail адреса злоумышленников и больше узнали об их атаке.
Был обнаружен обход KTRR, позволяющий обходить защиту и получать доступ к корневой памяти устройства. Это может привести к созданию полноценного эксплойта, который можно будет использовать для джейлбрейка.
Обход KTRR технический, а значит системное обновление ему не помешает. Apple вряд ли сможет долго сдерживать разработчиков от создания джейлбрейка.
Скорее всего, в будущем Apple изменит техническую составляющую iPhone, чтобы они не были подвержены данному обходу KTRR. Тем не менее, это никак не повлияет на текущие устройства.
Более новые версии системы устранили возможность уникальной атаки, описанной командой Kaspersky. Все владельцы подверженных устройств и версий системы с достаточными навыками могут использовать инструмент открытого доступа команды, чтобы выяснить, было ли их устройство подвержено этой же атаке.
Пока что команда разработчиков не стала публиковать обход KTRR публично, но вскоре это изменится. Он поддерживает все версии системы ниже iOS и iPadOS 16.6, включая iOS и iPadOS 16.5.1 и более старые версии. Кроме того, обход работает на устройствах A12-A16, а может даже и на A17.