En iMessage-udnyttelse med nul klik blev brugt til at installere Pegasus-spywaren på smartphones af journalister og andre højtprofilerede personer.
Apple elsker at fortælle, hvordan deres iPhone er den mest sikre smartphone på planeten. De talte for nylig om, hvordan deres smartphones er den "sikreste forbrugermobilenhed på markedet"... lige efter at forskere opdagede en iMessage-udnyttelse med nul klik, der blev brugt til at spionere på journalister internationalt.
Amnesty Internationaludgivet en rapport det var den anden dag anmeldt af ligeværdige ved Borgerlab, og rapporten bekræftede, at Pegasus — den NSO Group-made spyware — blev installeret med succes på enheder via en nul-dages, nul-klik iMessage-udnyttelse. Forskerne opdagede den ondsindede software, der kører på en iPhone 12 Pro Max-enhed, der kører på iOS 14.6, en iPhone SE2, der kører iOS 14.4, og en iPhone SE2, der kører iOS 14.0.1. Enheden, der kører iOS 14.0.1, krævede ikke en nul-dag udnytte.
Sidste år blev der brugt en lignende udnyttelse (kaldet KISMET), som blev brugt på iOS 13.x-enheder, og forskerne på
Borgerlab bemærkede, at KISMET er væsentligt anderledes end de teknikker, der anvendes af Pegasus i dag i iOS 14. Pegasus har eksisteret i lang tid og var første gang dokumenteret i 2016 da det viste sig at udnytte tre nul-dages sårbarheder på iPhones, men dengang var det mindre sofistikeret, da offeret stadig skulle klikke på linket, der blev sendt.Washington Post detaljeret hvordan den nye udnyttelsesmetode fungerede, da den inficerede iPhone 11 af Claude Mangin, den franske kone til en politisk aktivist, der var fængslet i Marokko. Da hendes telefon blev undersøgt, kunne det ikke identificeres, hvilke data der blev eksfiltreret fra den, men potentialet for misbrug var ikke desto mindre ekstraordinært. Pegasus-softwaren er kendt for at indsamle e-mails, opkaldsregistreringer, opslag på sociale medier, brugeradgangskoder, kontaktlister, billeder, videoer, lydoptagelser og browserhistorier. Den kan aktivere kameraer og mikrofoner, den kan lytte til opkald og voicemails, og den kan endda indsamle lokationslogfiler.
I Mangins tilfælde var angrebsvektoren gennem en Gmail-bruger under navnet "Linakeller2203". Mangin havde intet kendskab til det brugernavn, og hendes telefon var blevet hacket flere gange med Pegasus mellem oktober 2020 og juni 2021. Mangins telefonnummer var på en liste over mere end 50.000 telefonnumre fra mere end 50 lande, gennemgået af Washington Post og en række andre nyhedsorganisationer. NSO Group siger, at den udelukkende licenserer værktøjet til offentlige myndigheder for at bekæmpe terrorisme og andet alvorlige forbrydelser, selvom utallige journalister, politiske personer og højt profilerede aktivister har vist sig at være på liste.
Washington Post også fundet at 1.000 telefonnumre i Indien var optrådt på listen. 22 smartphones opnået og retsmedicinsk analyseret i Indien fandt, at 10 var målrettet med Pegasus, syv af dem med succes. Otte af 12 enheder, som forskerne ikke kunne fastslå var kompromitteret, var Android-smartphones. Mens iMessage ser ud til at være den mest populære måde at inficere et offer på, er der også andre måder.
Sikkerhedslaboratoriet kl Amnesty International undersøgte 67 smartphones, hvis numre var på listen og fandt retsmedicinske beviser for infektioner eller forsøg på infektioner i 37 af dem. 34 af dem var iPhones, og 23 viste tegn på vellykket infektion. 11 viste tegn på infektionsforsøg. Kun tre af 15 undersøgte Android-smartphones viste beviser for et forsøg, selvom forskere bemærkede, at det kunne skyldes, at Androids logfiler ikke var så omfattende.
På iOS-enheder opretholdes persistens ikke, og genstart er en måde at fjerne Pegasus-softwaren midlertidigt på. På overfladen virker dette som en god ting, men det har også gjort det sværere at opdage softwaren. Bill Marczak af Borgerlab tog til Twitter for at forklare nogle flere dele i detaljer, herunder at forklare, hvordan Pegasus-spywaren ikke er aktiv, før nul-klik-angrebet udløses efter en genstart.
Ivan Krstić, leder af Apple Security Engineering and Architecture, gav en erklæring, hvor han forsvarede Apples indsats.
"Apple fordømmer utvetydigt cyberangreb mod journalister, menneskerettighedsaktivister og andre, der søger at gøre verden til et bedre sted. I over et årti har Apple føret branchen inden for sikkerhedsinnovation, og som et resultat er sikkerhedsforskere enige om, at iPhone er den sikreste og mest sikre forbrugermobilenhed på markedet," sagde han i en erklæring. "Angreb som de beskrevne er meget sofistikerede, koster millioner af dollars at udvikle, har ofte en kort holdbarhed og bruges til at målrette mod specifikke individer. Selvom det betyder, at de ikke er en trussel mod det overvældende flertal af vores brugere, fortsætter vi med at arbejde utrætteligt for at forsvare alle vores kunder, og vi tilføjer konstant nye beskyttelser til deres enheder og data."
Apple introducerede en sikkerhedsforanstaltning kaldet "BlastDoor" som en del af iOS 14. Det er en sandkasse designet til at forhindre angreb som Pegasus i at ske. BlastDoor omgiver effektivt iMessage og analyserer alle upålidelige data inde i det, mens det forhindrer det i at interagere med resten af systemet. Telefonlogfiler set af Borgerlab viser, at de udnyttelser, der blev implementeret af NSO Group, involverede ImageIO, specifikt parsing af JPEG- og GIF-billeder. "ImageIO har haft mere end et dusin alvorlige fejl rapporteret imod sig i 2021", Bill Marczak forklarede på Twitter.
Dette er en udviklingshistorie, og det er sandsynligt, at Apple snart vil skubbe en opdatering, der løser de udnyttelser, der blev brugt af Pegasus i apps som iMessage. Den slags begivenheder fremhæver vigtigheden af månedlige sikkerhedsopdateringer, og hvorfor det altid er vigtigt at have de nyeste installeret.