Експлойтът на iMessage с нулево кликване беше използван за инсталиране на шпионския софтуер Pegasus на смартфоните на журналисти и други високопоставени лица.
Apple обича да рекламира как неговият iPhone е най-сигурният смартфон на планетата. Те наскоро говориха за това как техните смартфони са „най-сигурното потребителско мобилно устройство на пазара“... веднага след като изследователите откриха iMessage експлойт с нулево кликване, използван за шпиониране на журналисти в международен план.
международна амнистияпубликува доклад онзи ден това беше рецензирани от партньори от Гражданска лаборатория, а докладът потвърди, че Pegasus — the Група НСО-направен шпионски софтуер — беше успешно инсталиран на устройства чрез експлойт на iMessage с нулев ден и нулево кликване. Изследователите откриха злонамерения софтуер, работещ на устройство iPhone 12 Pro Max, работещо на iOS 14.6, iPhone SE2 с iOS 14.4 и iPhone SE2 с iOS 14.0.1. Устройството с iOS 14.0.1 не изискваше нулев ден експлоатация.
Миналата година беше използван подобен експлойт (наречен KISMET), който беше използван на устройства с iOS 13.x и изследователите от
Гражданска лаборатория отбеляза, че KISMET е съществено различен от техниките, използвани от Pegasus днес в iOS 14. Pegasus съществува от дълго време и беше за първи път документиран през 2016 г когато беше установено, че използва три уязвимости от нулевия ден на iPhone, въпреки че тогава беше по-малко усъвършенствано, тъй като жертвата все още трябваше да кликне върху изпратената връзка.Вашингтон пост подробно как е работил новият метод за експлойт, когато е заразил iPhone 11 на Клод Мангин, френската съпруга на политически активист, затворен в Мароко. Когато телефонът й беше проверен, не можеше да се установи какви данни са изтеглени от него, но въпреки това потенциалът за злоупотреба беше изключителен. Известно е, че софтуерът Pegasus събира имейли, записи на обаждания, публикации в социални медии, потребителски пароли, списъци с контакти, снимки, видеоклипове, звукозаписи и хронология на сърфиране. Той може да активира камери и микрофони, може да слуша обаждания и гласова поща и дори може да събира регистрационни файлове за местоположение.
В случая на Mangin векторът на атаката беше през потребител на Gmail, който се наричаше „Linakeller2203“. Мангин не е знаела за това потребителско име и телефонът й е бил хакван многократно с Pegasus между октомври 2020 г. и юни 2021 г. Телефонният номер на Мангин беше в списък с повече от 50 000 телефонни номера от повече от 50 държави, прегледан от Вашингтон пост и редица други новинарски организации. NSO Group казва, че лицензира инструмента изключително за правителствени агенции с цел борба с тероризма и други сериозни престъпления, въпреки че е установено, че безброй журналисти, политически фигури и високопоставени активисти са на списък.
Вашингтон пост също намерени че 1000 телефонни номера в Индия са се появили в списъка. 22 смартфона, получени и криминалистично анализирани в Индия, установиха, че 10 са били насочени с Pegasus, седем от които успешно. Осем от 12 устройства, за които изследователите не можаха да определят, че са били компрометирани, бяха смартфони с Android. Докато iMessage изглежда най-популярният начин за заразяване на жертва, има и други начини.
Лабораторията по сигурността на международна амнистия изследва 67 смартфона, чиито номера бяха в списъка, и откри криминалистични доказателства за инфекции или опити за инфекции в 37 от тях. 34 от тях бяха iPhone, а 23 показаха признаци на успешно заразяване. 11 са с признаци на опит за заразяване. Само три от 15 изследвани смартфона с Android показват доказателства за опит, въпреки че изследователите отбелязват, че това може да се дължи на факта, че регистрационните файлове на Android не са толкова изчерпателни.
На устройства с iOS постоянството не се поддържа и рестартирането е начин за временно премахване на софтуера Pegasus. На пръв поглед това изглежда нещо добро, но също така затруднява откриването на софтуера. Бил Марчак от Гражданска лаборатория отиде в Twitter, за да обясни още някои части в подробности, включително обяснение как шпионският софтуер на Pegasus не е активен, докато атаката с нулево кликване не бъде изстреляна след рестартиране.
Иван Кръстич, ръководител на Apple Security Engineering and Architecture, даде изявление в защита на усилията на Apple.
„Apple недвусмислено осъжда кибератаките срещу журналисти, активисти за правата на човека и други, които се стремят да направят света по-добро място. Повече от десетилетие Apple е водеща в индустрията в иновациите в областта на сигурността и в резултат на това изследователите по сигурността са съгласни, че iPhone е най-безопасното и защитено потребителско мобилно устройство на пазара,“, каза той в изявление. „Атаки като описаните са много сложни, струват милиони долари за разработване, често имат кратък срок на годност и се използват за насочване към определени лица. Въпреки че това означава, че те не са заплаха за огромното мнозинство от нашите потребители, ние продължаваме да работим неуморно да защитаваме всички наши клиенти и непрекъснато добавяме нови защити за техните устройства и данни."
Apple въведе мярка за сигурност, наречена „BlastDoor“ като част от iOS 14. Това е пясъчна кутия, предназначена да предотврати извършването на атаки като Pegasus. BlastDoor ефективно заобикаля iMessage и анализира всички ненадеждни данни в него, като същевременно го предпазва от взаимодействие с останалата част от системата. Телефонни регистрационни файлове, прегледани от Гражданска лаборатория показват, че експлойтите, внедрени от NSO Group, включват ImageIO, по-специално анализирането на JPEG и GIF изображения. „През 2021 г. на ImageIO са докладвани повече от дузина грешки с висока степен на сериозност“, Бил Марчак обясни в Twitter.
Това е история в процес на развитие и е вероятно скоро Apple да наложи актуализация, коригираща експлойтите, използвани от Pegasus в приложения като iMessage. Този вид събития подчертават важността на месечни актуализации за сигурности защо винаги е важно да имате инсталирани най-новите.