K instalaci spywaru Pegasus do chytrých telefonů novinářů a dalších významných osob byl použit exploit iMessage s nulovým kliknutím.
Apple rád propaguje, že jeho iPhone je nejbezpečnějším smartphonem na planetě. Nedávno hovořili o tom, že jejich smartphony jsou „nejbezpečnějším spotřebitelským mobilním zařízením na trhu“... hned poté, co výzkumníci objevili zneužití služby iMessage s nulovým kliknutím, které se používá ke špehování novinářů na mezinárodní úrovni.
Amnesty Internationalzveřejnil zprávu druhý den to bylo peer reviewed podle Občanská laboratořa zpráva potvrdila, že Pegasus — the Skupina NSO-made spyware – byl úspěšně nainstalován do zařízení pomocí zero-day, zero-click exploitu iMessage. Výzkumníci objevili škodlivý software běžící na zařízení iPhone 12 Pro Max se systémem iOS 14.6, iPhone SE2 se systémem iOS 14.4 a iPhone SE2 se systémem iOS 14.0.1. Zařízení se systémem iOS 14.0.1 nevyžadovalo zero-day využívat.
V loňském roce byl použit podobný exploit (nazvaný KISMET), který byl použit na zařízeních iOS 13.x, a výzkumníci
Washington Post detailní jak nová metoda exploitu fungovala, když infikovala iPhone 11 Claude Mangina, francouzské manželky politického aktivisty uvězněného v Maroku. Když byl její telefon zkoumán, nebylo možné identifikovat, jaká data z něj byla exfiltrována, ale potenciál zneužití byl přesto mimořádný. O softwaru Pegasus je známo, že shromažďuje e-maily, záznamy hovorů, příspěvky na sociálních sítích, uživatelská hesla, seznamy kontaktů, obrázky, videa, zvukové nahrávky a historii procházení. Dokáže aktivovat kamery a mikrofony, může poslouchat hovory a hlasové zprávy a může dokonce sbírat záznamy o poloze.
V Manginově případě byl vektor útoku prostřednictvím uživatele Gmailu jménem „Linakeller2203“. Mangin toto uživatelské jméno neznala a její telefon byl od října 2020 do června 2021 několikrát napaden Pegasem. Manginovo telefonní číslo bylo na seznamu více než 50 000 telefonních čísel z více než 50 zemí, zkontrolovaných Washington Post a řada dalších zpravodajských organizací. NSO Group říká, že tento nástroj licencuje výhradně vládním agenturám za účelem boje proti terorismu a dalším závažné zločiny, i když bylo zjištěno, že se na ní objevilo bezpočet novinářů, politických osobností a významných aktivistů. seznam.
Washington Post taky nalezeno že se na seznamu objevilo 1 000 telefonních čísel v Indii. 22 smartphonů získaných a forenzně analyzovaných v Indii zjistilo, že 10 bylo zaměřeno na Pegasus, sedm z nich úspěšně. Osm z 12 zařízení, u kterých vědci nedokázali určit, že byla napadena, byly smartphony Android. I když se zdá, že iMessage je nejoblíbenějším způsobem infikování oběti, existují i jiné způsoby.
Bezpečnostní laboratoř v Amnesty International prozkoumal 67 chytrých telefonů, jejichž čísla byla na seznamu, a u 37 z nich našel forenzní důkazy o infekcích nebo pokusech o infekci. 34 z nich byly iPhony a 23 vykazovalo známky úspěšné infekce. 11 vykazovalo známky pokusu o infekci. Pouze tři z 15 zkoumaných smartphonů Android vykazovaly důkazy o pokusu, ačkoli vědci poznamenali, že to mohlo být způsobeno tím, že protokoly Androidu nebyly tak komplexní.
Na zařízeních se systémem iOS se perzistence neudržuje a restartování je způsob, jak dočasně odebrat software Pegasus. Na první pohled to vypadá jako dobrá věc, ale také to ztížilo detekci softwaru. Bill Marczak z Občanská laboratoř přešel na Twitter, aby podrobně vysvětlil některé další části, včetně vysvětlení toho, jak spyware Pegasus není aktivní, dokud není po restartu spuštěn útok zero-click.
Ivan Krstić, šéf Apple Security Engineering and Architecture, vydal prohlášení obhajující snahy Applu.
„Apple jednoznačně odsuzuje kybernetické útoky proti novinářům, aktivistům za lidská práva a dalším, kteří se snaží udělat svět lepším místem. Již více než deset let je Apple vůdčím odvětvím v oblasti bezpečnostních inovací a v důsledku toho se bezpečnostní výzkumníci shodují, že iPhone je nejbezpečnější a nejbezpečnější spotřebitelské mobilní zařízení na trhu.“ uvedl v prohlášení. „Útoky, jako jsou ty popsané, jsou vysoce sofistikované, jejich vývoj stojí miliony dolarů, často mají krátkou životnost a používají se k cílení na konkrétní jedince. I když to znamená, že nepředstavují hrozbu pro drtivou většinu našich uživatelů, pokračujeme v práci neúnavně bránit všechny naše zákazníky a neustále doplňujeme nové ochrany pro jejich zařízení a data."
Apple představil bezpečnostní opatření nazvané „BlastDoor“ jako součást iOS 14. Je to sandbox navržený tak, aby zabránil útokům jako Pegasus. BlastDoor efektivně obklopuje iMessage a analyzuje v něm všechna nedůvěryhodná data, přičemž mu brání v interakci se zbytkem systému. Telefonní protokoly zobrazené uživatelem Občanská laboratoř ukazují, že exploity nasazené NSO Group zahrnovaly ImageIO, konkrétně analýzu obrázků JPEG a GIF. "ImageIO měl v roce 2021 hlášeno více než tucet velmi závažných chyb", Bill Marczak vysvětlil na Twitteru.
Toto je vývojový příběh a je pravděpodobné, že Apple brzy vydá aktualizaci opravující exploity používané Pegasem v aplikacích, jako je iMessage. Tyto druhy událostí zdůrazňují důležitost měsíční bezpečnostní aktualizacea proč je vždy důležité mít nainstalované nejnovější.