Nolla-napsautus iMessage-hyödynnystä käytettiin Pegasus-vakoiluohjelman asentamiseen toimittajien ja muiden korkean profiilin henkilöiden älypuhelimiin.
Apple kertoo mielellään, kuinka sen iPhone on planeetan turvallisin älypuhelin. He puhuivat äskettäin siitä, kuinka heidän älypuhelimensa ovat "markkinoiden turvallisin kuluttajamobiililaite"... heti sen jälkeen, kun tutkijat löysivät nollaklikkauksen iMessage-hyödynnyksen, jota käytettiin toimittajien kansainvälisessä vakoilussa.
Amnesty Internationaljulkaisi raportin toissapäivänä se oli vertaisarvioitu kirjoittaja Citizen Lab, ja raportti vahvisti, että Pegasus - NSO-ryhmä-made vakoiluohjelmat — asennettiin onnistuneesti laitteisiin nollapäivän, nollaklikkauksen iMessage-hyödyntämisellä. Tutkijat löysivät haittaohjelmiston, joka toimii iPhone 12 Pro Max -laitteessa, jossa on iOS 14.6, iPhone. SE2, jossa on iOS 14.4, ja iPhone SE2, jossa on iOS 14.0.1. iOS 14.0.1 -käyttöjärjestelmää käyttävä laite ei vaatinut nollapäivää käyttää hyväkseen.
Viime vuonna käytettiin samanlaista hyödyntämistä (nimettiin KISMET), jota käytettiin iOS 13.x -laitteissa, ja tutkijat Citizen Lab totesi, että KISMET eroaa olennaisesti Pegasuksen nykyisin iOS 14:ssä käyttämistä tekniikoista. Pegasus on ollut olemassa pitkään ja oli dokumentoitu ensimmäisen kerran vuonna 2016 kun sen havaittiin hyödyntävän kolmea nollapäivän haavoittuvuutta iPhoneissa, vaikka tuolloin se oli vähemmän kehittynyt, koska uhrin täytyi vielä napsauttaa lähetettyä linkkiä.
Washington Post yksityiskohtainen kuinka uusi hyväksikäyttömenetelmä toimi, kun se tartutti Marokossa vangitun poliittisen aktivistin ranskalaisen vaimon Claude Manginin iPhone 11:n. Hänen puhelintaan tarkasteltaessa ei voitu tunnistaa, mitä tietoja siitä oli suodatettu, mutta väärinkäytön mahdollisuus oli siitä huolimatta poikkeuksellista. Pegasus-ohjelmiston tiedetään keräävän sähköposteja, puhelutietoja, sosiaalisen median viestejä, käyttäjien salasanoja, yhteystietoja, kuvia, videoita, äänitallenteita ja selaushistoriaa. Se voi aktivoida kameroita ja mikrofoneja, kuunnella puheluita ja ääniviestejä ja jopa kerätä sijaintilokeja.
Manginin tapauksessa hyökkäysvektori oli Gmail-käyttäjän kautta, jonka nimi oli "Linakeller2203". Mangin ei tiennyt tästä käyttäjänimestä, ja hänen puhelimeensa oli hakkeroitu useita kertoja Pegasuksen kanssa lokakuun 2020 ja kesäkuun 2021 välisenä aikana. Manginin puhelinnumero oli yli 50 000 puhelinnumeron luettelossa yli 50 maasta. Washington Post ja monet muut uutisorganisaatiot. NSO Group sanoo, että se lisensoi työkalua yksinomaan valtion virastoille terrorismin ja muun torjuntaan vakavia rikoksia, vaikka lukuisten toimittajien, poliittisten henkilöiden ja korkean profiilin aktivisteja on havaittu lista.
Washington Post myös löytyi että luettelossa oli 1 000 puhelinnumeroa Intiasta. 22 Intiassa hankittua ja rikosteknisesti analysoitua älypuhelinta havaittiin, että Pegasuksen kohteena oli 10, joista seitsemän onnistui. Kahdeksan 12 laitteesta, joita tutkijat eivät voineet määrittää vaarantuneen, olivat Android-älypuhelimia. Vaikka iMessage näyttää olevan suosituin tapa tartuttaa uhri, on myös muita tapoja.
Turvalaboratorio klo Amnesty International tutki 67 älypuhelinta, joiden numerot olivat listalla, ja löysi rikosteknisiä todisteita tartunnasta tai tartuntayrityksestä 37:stä. Näistä 34 oli iPhonea, ja 23 osoitti onnistuneen infektion merkkejä. 11 osoitti merkkejä tartuntayrityksestä. Vain kolme 15 tutkitusta Android-älypuhelimesta osoitti todisteita yrityksestä, vaikka tutkijat huomauttivat, että se voi johtua siitä, että Androidin lokit eivät olleet niin kattavia.
iOS-laitteissa pysyvyys ei säily, ja uudelleenkäynnistys on tapa poistaa Pegasus-ohjelmisto väliaikaisesti. Pinnalla tämä näyttää hyvältä, mutta se on myös vaikeuttanut ohjelmiston havaitsemista. Bill Marczak Citizen Lab otti Twitteriin selittääkseen joitakin osia yksityiskohtaisesti, mukaan lukien selittäen, kuinka Pegasus-vakoiluohjelma ei ole aktiivinen ennen kuin nollanapsautushyökkäys käynnistyy uudelleenkäynnistyksen jälkeen.
Ivan Krstić, Apple Security Engineering and Architecture -yksikön johtaja, antoi lausunnon, jossa hän puolusti Applen ponnisteluja.
"Apple tuomitsee yksiselitteisesti kyberhyökkäykset toimittajia, ihmisoikeusaktivisteja ja muita ihmisiä vastaan, jotka pyrkivät tekemään maailmasta paremman paikan. Apple on yli vuosikymmenen ajan johtanut alaa tietoturvainnovaatioissa, ja tämän seurauksena tietoturvatutkijat ovat yhtä mieltä siitä, että iPhone on markkinoiden turvallisin ja turvallisin kuluttajamobiililaite.", hän sanoi lausunnossaan. "Kuvattujen kaltaiset hyökkäykset ovat erittäin kehittyneitä, maksavat miljoonia dollareita kehittääkseen, niillä on usein lyhyt säilyvyys ja niitä käytetään kohdistamaan tiettyihin henkilöihin. Vaikka tämä tarkoittaa, että ne eivät ole uhka käyttäjillemme suurimmalle osalle, jatkamme työtämme väsymättä puolustaaksemme kaikkia asiakkaitamme, ja lisäämme jatkuvasti uusia suojauksia heidän laitteilleen ja dataa."
Apple esitteli turvatoimenpiteen nimeltä "BlastDoor" osana iOS 14:ää. Se on hiekkalaatikko, joka on suunniteltu estämään Pegasuksen kaltaisia hyökkäyksiä. BlastDoor ympäröi iMessagea tehokkaasti ja jäsentää sen sisältämät epäluotettavat tiedot samalla, kun se estää sitä olemasta vuorovaikutuksessa muun järjestelmän kanssa. Puhelinlokit katseli Citizen Lab osoittavat, että NSO Groupin käyttämiin hyväksikäyttöihin liittyi ImageIO, erityisesti JPEG- ja GIF-kuvien jäsentäminen. "ImageIO: lle on raportoitu yli tusina erittäin vakavia bugeja vuonna 2021", Bill Marczak selitti Twitterissä.
Tämä on kehittyvä tarina, ja on todennäköistä, että Apple julkaisee pian päivityksen, joka korjaa Pegasuksen hyödyntämät sovellukset, kuten iMessage. Tällaiset tapahtumat korostavat sen tärkeyttä kuukausittaiset tietoturvapäivitykset, ja miksi on aina tärkeää, että uusimmat on asennettu.