K instalaci spywaru Pegasus do chytrých telefonů novinářů a dalších významných osob byl použit exploit iMessage s nulovým kliknutím.
Apple rád propaguje, že jeho iPhone je nejbezpečnějším smartphonem na planetě. Nedávno hovořili o tom, že jejich smartphony jsou „nejbezpečnějším spotřebitelským mobilním zařízením na trhu“... hned poté, co výzkumníci objevili zneužití služby iMessage s nulovým kliknutím, které se používá ke špehování novinářů na mezinárodní úrovni.
Amnesty Internationalzveřejnil zprávu druhý den to bylo peer reviewed podle Občanská laboratořa zpráva potvrdila, že Pegasus — the Skupina NSO-made spyware – byl úspěšně nainstalován do zařízení pomocí zero-day, zero-click exploitu iMessage. Výzkumníci objevili škodlivý software běžící na zařízení iPhone 12 Pro Max se systémem iOS 14.6, iPhone SE2 se systémem iOS 14.4 a iPhone SE2 se systémem iOS 14.0.1. Zařízení se systémem iOS 14.0.1 nevyžadovalo zero-day využívat.
V loňském roce byl použit podobný exploit (nazvaný KISMET), který byl použit na zařízeních iOS 13.x, a výzkumníci
Občanská laboratoř poznamenal, že KISMET se podstatně liší od technik používaných dnes Pegasem v iOS 14. Pegas je tu dlouho a byl poprvé zdokumentováno v roce 2016 když se zjistilo, že využívá tři zranitelnosti zero-day na iPhonech, i když tehdy to bylo méně sofistikované, protože oběť musela stále klikat na zaslaný odkaz.Washington Post detailní jak nová metoda exploitu fungovala, když infikovala iPhone 11 Claude Mangina, francouzské manželky politického aktivisty uvězněného v Maroku. Když byl její telefon zkoumán, nebylo možné identifikovat, jaká data z něj byla exfiltrována, ale potenciál zneužití byl přesto mimořádný. O softwaru Pegasus je známo, že shromažďuje e-maily, záznamy hovorů, příspěvky na sociálních sítích, uživatelská hesla, seznamy kontaktů, obrázky, videa, zvukové nahrávky a historii procházení. Dokáže aktivovat kamery a mikrofony, může poslouchat hovory a hlasové zprávy a může dokonce sbírat záznamy o poloze.
V Manginově případě byl vektor útoku prostřednictvím uživatele Gmailu jménem „Linakeller2203“. Mangin toto uživatelské jméno neznala a její telefon byl od října 2020 do června 2021 několikrát napaden Pegasem. Manginovo telefonní číslo bylo na seznamu více než 50 000 telefonních čísel z více než 50 zemí, zkontrolovaných Washington Post a řada dalších zpravodajských organizací. NSO Group říká, že tento nástroj licencuje výhradně vládním agenturám za účelem boje proti terorismu a dalším závažné zločiny, i když bylo zjištěno, že se na ní objevilo bezpočet novinářů, politických osobností a významných aktivistů. seznam.
Washington Post taky nalezeno že se na seznamu objevilo 1 000 telefonních čísel v Indii. 22 smartphonů získaných a forenzně analyzovaných v Indii zjistilo, že 10 bylo zaměřeno na Pegasus, sedm z nich úspěšně. Osm z 12 zařízení, u kterých vědci nedokázali určit, že byla napadena, byly smartphony Android. I když se zdá, že iMessage je nejoblíbenějším způsobem infikování oběti, existují i jiné způsoby.
Bezpečnostní laboratoř v Amnesty International prozkoumal 67 chytrých telefonů, jejichž čísla byla na seznamu, a u 37 z nich našel forenzní důkazy o infekcích nebo pokusech o infekci. 34 z nich byly iPhony a 23 vykazovalo známky úspěšné infekce. 11 vykazovalo známky pokusu o infekci. Pouze tři z 15 zkoumaných smartphonů Android vykazovaly důkazy o pokusu, ačkoli vědci poznamenali, že to mohlo být způsobeno tím, že protokoly Androidu nebyly tak komplexní.
Na zařízeních se systémem iOS se perzistence neudržuje a restartování je způsob, jak dočasně odebrat software Pegasus. Na první pohled to vypadá jako dobrá věc, ale také to ztížilo detekci softwaru. Bill Marczak z Občanská laboratoř přešel na Twitter, aby podrobně vysvětlil některé další části, včetně vysvětlení toho, jak spyware Pegasus není aktivní, dokud není po restartu spuštěn útok zero-click.
Ivan Krstić, šéf Apple Security Engineering and Architecture, vydal prohlášení obhajující snahy Applu.
„Apple jednoznačně odsuzuje kybernetické útoky proti novinářům, aktivistům za lidská práva a dalším, kteří se snaží udělat svět lepším místem. Již více než deset let je Apple vůdčím odvětvím v oblasti bezpečnostních inovací a v důsledku toho se bezpečnostní výzkumníci shodují, že iPhone je nejbezpečnější a nejbezpečnější spotřebitelské mobilní zařízení na trhu.“ uvedl v prohlášení. „Útoky, jako jsou ty popsané, jsou vysoce sofistikované, jejich vývoj stojí miliony dolarů, často mají krátkou životnost a používají se k cílení na konkrétní jedince. I když to znamená, že nepředstavují hrozbu pro drtivou většinu našich uživatelů, pokračujeme v práci neúnavně bránit všechny naše zákazníky a neustále doplňujeme nové ochrany pro jejich zařízení a data."
Apple představil bezpečnostní opatření nazvané „BlastDoor“ jako součást iOS 14. Je to sandbox navržený tak, aby zabránil útokům jako Pegasus. BlastDoor efektivně obklopuje iMessage a analyzuje v něm všechna nedůvěryhodná data, přičemž mu brání v interakci se zbytkem systému. Telefonní protokoly zobrazené uživatelem Občanská laboratoř ukazují, že exploity nasazené NSO Group zahrnovaly ImageIO, konkrétně analýzu obrázků JPEG a GIF. "ImageIO měl v roce 2021 hlášeno více než tucet velmi závažných chyb", Bill Marczak vysvětlil na Twitteru.
Toto je vývojový příběh a je pravděpodobné, že Apple brzy vydá aktualizaci opravující exploity používané Pegasem v aplikacích, jako je iMessage. Tyto druhy událostí zdůrazňují důležitost měsíční bezpečnostní aktualizacea proč je vždy důležité mít nainstalované nejnovější.