# CVE-2016-4655 > [!danger] Trident - Kernel Information Disclosure > Vazamento de memória do kernel do iOS que permitia contornar KASLR. Parte da cadeia de exploração "Trident", usada pelo spyware **Pegasus** do NSO Group para comprometimento remoto e silencioso de iPhones — com uso documentado contra jornalistas e ativistas no **México e América Latina**. ## Visão Geral CVE-2016-4655 é uma vulnerabilidade de vazamento de informação no kernel XNU do iOS da Apple, descoberta em agosto de 2016 como parte da cadeia de exploração chamada **"Trident"** — três zero-days encadeados que, juntos, permitiam o comprometimento completo e silencioso de um iPhone com um único clique em um link malicioso. A vulnerabilidade permite que um atacante leia endereços de memória do kernel, efetivamente contornando o **KASLR** (Kernel Address Space Layout Randomization) — mecanismo de defesa que randomiza os endereços de memória para dificultar exploração. Ao vazar o endereço base do kernel, o atacante obtém o "mapa" necessário para executar o passo seguinte da cadeia. A cadeia Trident foi descoberta pelo **Citizen Lab** (Universidade de Toronto) após o ativista de direitos humanos Ahmed Mansoor, dos Emirados Árabes Unidos, receber SMS com links suspeitos e os encaminhar para pesquisadores. O NSO Group, empresa israelense de vigilância, vendeu a exploração como parte de seu produto comercial **Pegasus** para governos em todo o mundo — incluindo países da América Latina. A Apple corrigiu as três vulnerabilidades em **25 de agosto de 2016** com o lançamento do iOS 9.3.5, em um ciclo incomumente rápido de divulgação-para-patch de apenas 10 dias. ## A Cadeia Trident CVE-2016-4655 não opera de forma isolada. É o segundo elo de uma cadeia de três zero-days que funcionam em sequência: ``` [Usuário clica no link] │ ▼ CVE-2016-4657 (WebKit RCE) Execução de código no processo do Safari/WebKit │ ▼ CVE-2016-4655 (Kernel Info Leak) ← esta nota Leitura de endereços do kernel para bypass de KASLR │ ▼ CVE-2016-4656 (Kernel UAF) Use-After-Free no kernel → escalação de privilégios → jailbreak silencioso │ ▼ [Pegasus instalado — acesso total ao dispositivo] ``` **CVE-2016-4655 é o elo crítico de transição**: sem o vazamento de endereço do kernel, o exploit CVE-2016-4656 não consegue calcular os offsets necessários para a escalação de privilégios. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | **CVE** | CVE-2016-4655 | | **CVSS v3** | 5.5 MEDIUM | | **Vetor** | `AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N` | | **CWE** | CWE-200 (Exposição de Informação) | | **Tipo** | Kernel Information Disclosure / KASLR Bypass | | **Componente** | XNU Kernel — mapeamento de memória do kernel | | **Afetados** | iOS < 9.3.5; macOS Sierra < 10.12 | | **Patch** | iOS 9.3.5 (2016-08-25) | | **Exploit público** | Sim — Lookout/Citizen Lab públicaram análise técnica | ### Como funciona A falha está na forma como o kernel XNU mapeia certas regiões de memória para processos em espaço de usuário. Um processo sem privilégios consegue ler endereços que deveriam ser opacos, revelando o endereço base do kernel (`kernel slide`). Com esse valor em mãos, o atacante pode: 1. Calcular os endereços reais de estruturas críticas do kernel 2. Construir o payload do exploit CVE-2016-4656 com offsets precisos 3. Executar a escalação de privilégios com alta taxa de sucesso ```c // Conceito simplificado do vazamento (pseudocódigo) // O processo consegue ler kernel_base através de uma syscall vulnerável uint64_t kernel_base = leak_kernel_address(); uint64_t target_struct = kernel_base + HARDCODED_OFFSET; // Com kernel_base conhecido, KASLR é contornado ``` ## Impacto Operacional Quando integrado à cadeia Trident e ao spyware Pegasus, CVE-2016-4655 habilitava: - **Captura de mensagens**: SMS, WhatsApp, Telegram, iMessage - **Ativação de microfone e câmera**: vigilância em tempo real - **Rastreamento de localização**: histórico de GPS - **Exfiltração de senhas**: keylogging e acesso ao keychain - **Persistência**: reinstalação automática mesmo após reinicialização - **Operação silenciosa**: sem notificação visível ao usuário ## Relevância LATAM/Brasil CVE-2016-4655 e a cadeia Trident têm relevância direta e documentada para a América Latina: ### México - Principal alvo documentado O Citizen Lab documentou uso extensivo do Pegasus no México entre 2015-2017, sendo o país com maior número de alvos identificados fora do Oriente Médio: - **Jornalistas investigativos**: Rafael Cabrera e outros repórteres do portal Aristegui Noticias que investigavam corrupção do governo Peña Nieto - **Advogados de direitos humanos**: representantes das famílias dos 43 estudantes desaparecidos de Ayotzinapa - **Ativistas anticorrupção**: membros do grupo "Mexicanos Contra la Corrupción y la Impunidad" - **Cientistas de saúde pública**: pesquisadores que apoiavam imposto sobre bebidas açucaradas — alvo de clientes da indústria de bebidas ### Brasil - Embora não haja confirmação pública de uso do Pegasus contra alvos brasileiros com esta versão específica, o NSO Group tinha presença comercial na América Latina - Versões posteriores do Pegasus (2019-2021) foram identificadas em infraestrutura vinculada ao Brasil - A adoção massiva de iPhones no Brasil pelo segmento corporativo e governamental torna o vetor de exploração altamente relevante - Executivos, políticos e jornalistas brasileiros com iOS < 9.3.5 não atualizado estavam vulneráveis durante o período de zero-day ### Contexto regulatório LATAM O caso Trident/Pegasus foi determinante para discussões regulatórias sobre spyware comercial no continente: - LGPD (Brasil) e marcos de proteção de dados na região foram influenciados por casos de vigilância ilegal - A Comissão Interamericana de Direitos Humanos (CIDH) referenciou o caso Pegasus em relatórios sobre liberdade de expressão digital ## Detecção e Defesa ### Indicadores de Comprometimento (iOS) A detecção de comprometimento via Trident/Pegasus é difícil por design. Principais vetores de detecção: - **Mobile Verification Toolkit (MVT)**: ferramenta open-source do Amnesty International para análise de backups iOS em busca de rastros do Pegasus - **Análise de tráfego de rede**: domínios C2 do NSO Group foram públicados pelo Citizen Lab - **Logs de diagnóstico**: processos anômalos no `sysdiagnose` do iOS - **Análise de backup iTunes**: artefatos forenses em backups não criptografados ### Mitigações | Ação | Prioridade | |------|-----------| | Atualizar iOS para versão atual | **Crítica** — patches retroativos não existem | | Habilitar modo de bloqueio (iOS 16+) | **Alta** — mitiga spyware sofisticado | | Usar MVT para verificação forense | **Alta** — para alvos de alto risco | | Desativar JavaScript quando possível | **Média** — reduz superfície WebKit | | Reinicialização regular do dispositivo | **Média** — pode interromper persistência | ### Regra de Detecção (Tráfego de Rede) ```yaml title: Pegasus C2 Infrastructure Communication id: pegasus-c2-trident-2016 status: experimental description: Detects commúnication to known Pegasus C2 domains used in Trident campaign references: - https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/ logsource: category: proxy detection: selection: c-uri|contains: - 'getmyfreeapp.com' - 'smsnet.mobi' - 'yahoosapi.com' condition: selection falsepositives: - None expected - these are known NSO Group C2 domains level: critical tags: - attack.command-and-control - attack.t1071 ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2016-08-10 | Ahmed Mansoor recebe SMS suspeito e encaminha ao Citizen Lab | | 2016-08-15 | Citizen Lab confirma zero-days e notifica Apple | | 2016-08-25 | Apple lança iOS 9.3.5 — corrigindo CVE-2016-4655, CVE-2016-4656, CVE-2016-4657 | | 2016-08-25 | Citizen Lab e Lookout públicam análise técnica completa da cadeia Trident | | 2016-09 | NSO Group reconhece venda do Pegasus a "governos licenciados" | | 2017-06 | Citizen Lab pública "Reckless" — documentando 36 jornalistas/ativistas mexicanos comprometidos | | 2021 | Projeto Pegasus (consórcio jornalístico global) revela escala global de vigilância | ## Referências - Citizen Lab: "Million Dollar Dissident" — análise original do Trident (2016) - Lookout Security: "Trident Technical Analysis" (2016) - Amnesty International: Mobile Verification Toolkit (MVT) - Apple Security Advisory — iOS 9.3.5 (CVE-2016-4655, CVE-2016-4656, CVE-2016-4657) - NVD: https://nvd.nist.gov/vuln/detail/CVE-2016-4655 - [[operation-pegasus|Operation Pegasus]] - [[nso-group|NSO Group]] - [[T1189 - Drive-by Compromise]] - [[T1404 - Exploit OS Vulnerability]] - [[T1430 - Location Tracking]]