Un investigador de Google Project Zero revela cómo evitar ASLR en macOS e iOS

Redazione RHC : 29 septiembre 2025 08:45

Un investigador del equipo Project Zero de Google ha revelado un nuevo método para extraer direcciones de memoria de forma remota en los sistemas operativos macOS e iOS de Apple. La investigación surgió de un debate mantenido en 2024 en el equipo de Project Zero sobre la búsqueda de nuevas formas de extraer ASLR de forma remota en dispositivos Apple.

Un método descubierto por el investigador parece ser aplicable a servicios que aceptan datos proporcionados por atacantes y los deserializan, para luego reserializar los objetos resultantes y devolver los datos. Este método puede eludir una característica de seguridad clave , la Aleatorización del Diseño del Espacio de Direcciones (ASLR) , sin recurrir a vulnerabilidades tradicionales de corrupción de memoria ni a ataques de canal lateral basados en la temporización.

A diferencia de los ataques de canal lateral tradicionales que miden las diferencias de tiempo, este método se basa en el resultado determinista del proceso de serialización. Si bien no se ha identificado ninguna superficie de ataque vulnerable real, se creó una prueba de concepto mediante un caso de prueba artificial con NSKeyedArchiver, el framework de serialización de Apple para macOS.

La técnica se basa en el comportamiento predecible de la serialización de datos y el funcionamiento interno de los objetos NSDictionary de Apple, que son esencialmente tablas hash. El ataque busca filtrar la dirección de memoria de NSNullsingleton, un objeto único para todo el sistema cuya dirección de memoria se utiliza como valor hash.

Filtrar este valor hash equivale a filtrar la dirección del objeto, lo que comprometería ASLR para el caché compartido en el que reside. El ataque implica varias etapas:

• Un atacante primero crea un objeto NSDictionary serializado. Este diccionario contiene una combinación de NSNumbers , una clave cuyos valores hash se pueden inspeccionar y un único NSNull .
• Las claves NSNumber se eligen cuidadosamente para ocupar «espacios» específicos dentro de la tabla hash, creando un patrón conocido de espacios llenos y vacíos.
• La aplicación víctima deserializa este objeto, creando el diccionario en memoria. Cuando la aplicación reserializa el objeto para reenviarlo, itera a través de los contenedores de la tabla hash en un orden predecible.
• La posición de la clave NSNull en los datos devueltos revela en qué contenedor se colocó. Esto revela información parcial sobre su dirección, específicamente el resultado de la dirección módulo el tamaño de la tabla.

Esta investigación demuestra que el uso de punteros de objetos sin procesar como claves hash en estructuras de datos puede provocar una fuga directa de información si se expone la salida serializada.

Según el investigador, la medida de mitigación más eficaz es evitar utilizar direcciones de objetos como claves de búsqueda o aplicarles una función hash con clave para evitar la exposición de la dirección.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli