Χρησιμοποιήθηκε ένα μηδενικό κλικ στο iMessage για την εγκατάσταση του spyware Pegasus στα smartphone δημοσιογράφων και άλλων ατόμων υψηλού προφίλ.
Η Apple λατρεύει να διαφημίζει πώς το iPhone της είναι το πιο ασφαλές smartphone στον πλανήτη. Πρόσφατα μίλησαν για το πώς τα smartphone τους είναι η «πιο ασφαλής καταναλωτική κινητή συσκευή στην αγορά»... αμέσως αφού οι ερευνητές ανακάλυψαν ένα μηδενικό κλικ στο iMessage που χρησιμοποιείται για την κατασκοπεία δημοσιογράφων διεθνώς.
Διεθνής Αμνηστίαδημοσίευσε έκθεση την άλλη μέρα που ήταν αξιολογήθηκε από ομοτίμους με Citizen Lab, και η αναφορά επιβεβαίωσε ότι ο Πήγασος — το Ομάδα NSO-made spyware — εγκαταστάθηκε με επιτυχία σε συσκευές μέσω μιας εκμετάλλευσης iMessage μηδενικής ημέρας, μηδενικού κλικ. Οι ερευνητές ανακάλυψαν το κακόβουλο λογισμικό που εκτελείται σε μια συσκευή iPhone 12 Pro Max που εκτελείται σε iOS 14.6, ένα iPhone SE2 με iOS 14.4 και ένα iPhone SE2 με iOS 14.0.1. Η συσκευή με iOS 14.0.1 δεν απαιτούσε μηδενική ημέρα εκμεταλλεύομαι.
Πέρυσι, χρησιμοποιήθηκε ένα παρόμοιο exploit (με το όνομα KISMET) το οποίο χρησιμοποιήθηκε σε συσκευές iOS 13.x και οι ερευνητές στο Citizen Lab σημείωσε ότι το KISMET είναι ουσιαστικά διαφορετικό από τις τεχνικές που χρησιμοποιεί σήμερα η Pegasus στο iOS 14. Ο Πήγασος υπήρχε εδώ και πολύ καιρό και ήταν τεκμηριώθηκε για πρώτη φορά το 2016 όταν διαπιστώθηκε ότι εκμεταλλευόταν τρεις ευπάθειες zero-day στα iPhone, αν και τότε, ήταν λιγότερο περίπλοκο καθώς το θύμα έπρεπε ακόμα να κάνει κλικ στον σύνδεσμο που στάλθηκε.
Η Washington Post λεπτομερής πώς λειτούργησε η νέα μέθοδος εκμετάλλευσης όταν μόλυνε το iPhone 11 του Claude Mangin, της Γαλλίδας συζύγου ενός πολιτικού ακτιβιστή που φυλακίστηκε στο Μαρόκο. Όταν το τηλέφωνό της εξετάστηκε, δεν μπόρεσε να εντοπιστεί ποια δεδομένα είχαν εξαχθεί από αυτό, αλλά η πιθανότητα κατάχρησης ήταν εξαιρετικές. Το λογισμικό Pegasus είναι γνωστό ότι συλλέγει email, αρχεία κλήσεων, αναρτήσεις μέσων κοινωνικής δικτύωσης, κωδικούς πρόσβασης χρηστών, λίστες επαφών, εικόνες, βίντεο, ηχογραφήσεις και ιστορικά περιήγησης. Μπορεί να ενεργοποιήσει κάμερες και μικρόφωνα, να ακούει κλήσεις και φωνητικά μηνύματα και μπορεί ακόμη και να συλλέγει αρχεία καταγραφής τοποθεσίας.
Στην περίπτωση του Mangin, ο φορέας επίθεσης ήταν μέσω ενός χρήστη του Gmail με το όνομα "Linakeller2203". Η Mangin δεν γνώριζε αυτό το όνομα χρήστη και το τηλέφωνό της είχε παραβιαστεί πολλές φορές με το Pegasus μεταξύ Οκτωβρίου 2020 και Ιουνίου 2021. Ο αριθμός τηλεφώνου του Mangin ήταν σε μια λίστα με περισσότερους από 50.000 αριθμούς τηλεφώνου από περισσότερες από 50 χώρες, που εξετάστηκαν από Η Washington Post και μια σειρά άλλων ειδησεογραφικών οργανισμών. Η NSO Group λέει ότι χορηγεί άδεια χρήσης του εργαλείου αποκλειστικά σε κυβερνητικές υπηρεσίες για την καταπολέμηση της τρομοκρατίας και άλλων σοβαρά εγκλήματα, αν και αμέτρητοι δημοσιογράφοι, πολιτικές προσωπικότητες και ακτιβιστές υψηλού προφίλ έχουν βρεθεί στο λίστα.
Η Washington Post επίσης βρέθηκαν ότι 1.000 τηλεφωνικοί αριθμοί στην Ινδία είχαν εμφανιστεί στη λίστα. 22 smartphone που αποκτήθηκαν και αναλύθηκαν ιατροδικαστικά στην Ινδία διαπίστωσαν ότι 10 στοχοποιήθηκαν με το Pegasus, επτά από αυτά με επιτυχία. Οκτώ από τις 12 συσκευές που οι ερευνητές δεν μπόρεσαν να προσδιορίσουν ότι είχαν παραβιαστεί ήταν smartphone Android. Ενώ το iMessage φαίνεται να είναι ο πιο δημοφιλής τρόπος μόλυνσης ενός θύματος, υπάρχουν και άλλοι τρόποι.
Το εργαστήριο ασφαλείας στο Διεθνής Αμνηστία εξέτασε 67 smartphone των οποίων οι αριθμοί ήταν στη λίστα και βρήκε ιατροδικαστικά στοιχεία για μολύνσεις ή απόπειρες μόλυνσης σε 37 από αυτά. 34 από αυτά ήταν iPhone και 23 έδειξαν σημάδια επιτυχούς μόλυνσης. 11 εμφάνισαν σημάδια απόπειρας μόλυνσης. Μόνο τρία από τα 15 smartphone Android που εξετάστηκαν έδειξαν στοιχεία μιας προσπάθειας, αν και οι ερευνητές παρατήρησαν ότι αυτό θα μπορούσε να οφείλεται στο γεγονός ότι τα αρχεία καταγραφής του Android δεν ήταν τόσο ολοκληρωμένα.
Σε συσκευές iOS, η επιμονή δεν διατηρείται και η επανεκκίνηση είναι ένας τρόπος για την προσωρινή κατάργηση του λογισμικού Pegasus. Επιφανειακά, αυτό φαίνεται καλό, αλλά καθιστά επίσης πιο δύσκολο τον εντοπισμό του λογισμικού. Bill Marczak του Citizen Lab ανέβηκε στο Twitter για να εξηγήσει λεπτομερώς ορισμένα περισσότερα μέρη, συμπεριλαμβανομένης της εξήγησης του τρόπου με τον οποίο το λογισμικό υποκλοπής υποκλοπής Pegasus δεν είναι ενεργό έως ότου ενεργοποιηθεί η επίθεση με μηδενικό κλικ μετά από μια επανεκκίνηση.
Ο Ivan Krstić, επικεφαλής της Apple Security Engineering and Architecture, έδωσε μια δήλωση υπερασπίζοντας τις προσπάθειες της Apple.
«Η Apple καταδικάζει απερίφραστα τις κυβερνοεπιθέσεις εναντίον δημοσιογράφων, ακτιβιστών για τα ανθρώπινα δικαιώματα και άλλων που επιδιώκουν να κάνουν τον κόσμο καλύτερο. Για πάνω από μια δεκαετία, η Apple ηγείται του κλάδου στην καινοτομία ασφάλειας και, ως εκ τούτου, οι ερευνητές ασφάλειας συμφωνούν ότι το iPhone είναι η ασφαλέστερη και ασφαλέστερη κινητή συσκευή για καταναλωτές στην αγορά.», ανέφερε σε δήλωσή του. «Επιθέσεις όπως αυτές που περιγράφηκαν είναι πολύ εξελιγμένες, κοστίζουν εκατομμύρια δολάρια για να αναπτυχθούν, συχνά έχουν μικρή διάρκεια ζωής και χρησιμοποιούνται για να στοχεύσουν συγκεκριμένα άτομα. Αν και αυτό σημαίνει ότι δεν αποτελούν απειλή για τη συντριπτική πλειοψηφία των χρηστών μας, συνεχίζουμε να εργαζόμαστε ακούραστα για να υπερασπιστούμε όλους τους πελάτες μας και προσθέτουμε συνεχώς νέες προστασίες για τις συσκευές τους και δεδομένα."
Η Apple εισήγαγε ένα μέτρο ασφαλείας με το όνομα "BlastDoor" ως μέρος του iOS 14. Είναι ένα sandbox που έχει σχεδιαστεί για να αποτρέπει επιθέσεις όπως το Pegasus. Το BlastDoor περιβάλλει αποτελεσματικά το iMessage και αναλύει όλα τα μη αξιόπιστα δεδομένα μέσα σε αυτό, ενώ το εμποδίζει να αλληλεπιδρά με το υπόλοιπο σύστημα. Αρχεία καταγραφής τηλεφώνου που προβλήθηκαν από Citizen Lab δείχνουν ότι τα exploits που αναπτύχθηκαν από το NSO Group αφορούσαν το ImageIO, συγκεκριμένα την ανάλυση εικόνων JPEG και GIF. "Το ImageIO είχε περισσότερα από δώδεκα σφάλματα υψηλής σοβαρότητας που αναφέρθηκαν εναντίον του το 2021", Ο Bill Marczak εξήγησε στο Twitter.
Αυτή είναι μια ιστορία που εξελίσσεται και είναι πιθανό η Apple να προωθήσει μια ενημέρωση για να διορθώσει τα exploits που χρησιμοποιεί ο Pegasus σε εφαρμογές όπως το iMessage σύντομα. Αυτού του είδους οι εκδηλώσεις υπογραμμίζουν τη σημασία του μηνιαίες ενημερώσεις ασφαλείας, και γιατί είναι πάντα σημαντικό να έχετε εγκατεστημένα τα πιο πρόσφατα.