IMessage exploit bez klika korišten je za instaliranje špijunskog softvera Pegasus na pametne telefone novinara i drugih pojedinaca visokog profila.
Apple voli hvaliti kako je njegov iPhone najsigurniji pametni telefon na planetu. Nedavno su govorili kako su njihovi pametni telefoni "najsigurniji potrošački mobilni uređaj na tržištu"... odmah nakon što su istraživači otkrili iMessage exploit bez klika koji se koristio za špijuniranje novinara u inozemstvu.
Amnesty Internationalobjavio izvješće neki dan je to bilo recenzirani po Građanski laboratorij, a izvješće je potvrdilo da je Pegasus — the Grupa NSO-made spyware — uspješno je instaliran na uređaje putem zero-day, zero-click iMessage exploit. Istraživači su otkrili zlonamjerni softver koji radi na uređaju iPhone 12 Pro Max koji radi na iOS-u 14.6, iPhoneu SE2 s iOS-om 14.4 i iPhone SE2 s iOS-om 14.0.1. Uređaj koji pokreće iOS 14.0.1 nije zahtijevao nulti dan iskorištavati.
Prošle godine korišten je sličan exploit (nazvan KISMET) koji je korišten na iOS 13.x uređajima, a istraživači na
Washington Post detaljan kako je nova metoda iskorištavanja funkcionirala kada je zarazila iPhone 11 Claudea Mangina, francuske supruge političkog aktivista zatvorenog u Maroku. Kada je njezin telefon pregledan, nije se moglo utvrditi koji su podaci iz njega izvučeni, ali je potencijal za zlouporabu ipak bio izniman. Poznato je da softver Pegasus prikuplja e-poštu, zapise o pozivima, objave na društvenim mrežama, korisničke lozinke, popise kontakata, slike, videozapise, zvučne snimke i povijest pregledavanja. Može aktivirati kamere i mikrofone, može slušati pozive i govornu poštu, a može čak i prikupljati zapisnike lokacije.
U Manginovom slučaju, vektor napada bio je preko Gmail korisnika pod imenom "Linakeller2203". Mangin nije znala za to korisničko ime, a njen telefon je više puta hakiran s Pegasusom između listopada 2020. i lipnja 2021. Manginov telefonski broj nalazio se na popisu s više od 50.000 telefonskih brojeva iz više od 50 zemalja, koji je pregledao Washington Post i brojne druge novinske organizacije. NSO Group kaže da licencira alat isključivo vladinim agencijama u svrhu borbe protiv terorizma i drugog ozbiljnih zločina, iako je nebrojeno mnogo novinara, političkih osoba i aktivista visokog profila otkriveno da su na popis.
Washington Post također pronađeno da se na popisu pojavilo 1000 telefonskih brojeva u Indiji. 22 pametna telefona dobivena i forenzički analizirana u Indiji otkrila su da je 10 bilo ciljano Pegazom, od kojih sedam uspješno. Osam od 12 uređaja za koje istraživači nisu mogli utvrditi da su ugroženi bili su Android pametni telefoni. Dok se čini da je iMessage najpopularniji način zaraze žrtve, postoje i drugi načini.
Sigurnosni laboratorij u Amnesty International pregledao je 67 pametnih telefona čiji su brojevi bili na popisu i na njih 37 pronašao forenzičke dokaze infekcija ili pokušaja infekcija. Od toga su 34 bila iPhonea, a 23 su pokazala znakove uspješne infekcije. 11 je pokazalo znakove pokušaja infekcije. Samo tri od 15 ispitanih Android pametnih telefona pokazala su dokaz pokušaja, iako su istraživači primijetili da bi to moglo biti zbog činjenice da Androidovi zapisi nisu bili tako sveobuhvatni.
Na iOS uređajima postojanost se ne održava, a ponovno pokretanje je način da se privremeno ukloni softver Pegasus. Na površini, ovo se čini kao dobra stvar, ali je također otežalo otkrivanje softvera. Bill Marczak iz Građanski laboratorij obratio se Twitteru kako bi detaljnije objasnio još neke dijelove, uključujući objašnjenje kako špijunski softver Pegasus nije aktivan sve dok se nakon ponovnog pokretanja ne pokrene napad nultim klikom.
Ivan Krstić, voditelj Apple Security Engineering and Architecture, dao je izjavu u obranu Appleovih nastojanja.
“Apple nedvosmisleno osuđuje kibernetičke napade na novinare, aktiviste za ljudska prava i druge koji žele učiniti svijet boljim mjestom. Više od desetljeća, Apple je predvodio industriju u sigurnosnim inovacijama i, kao rezultat toga, sigurnosni istraživači se slažu da je iPhone najsigurniji, najsigurniji potrošački mobilni uređaj na tržištu,“, naveo je u priopćenju. “Napadi poput ovih opisanih vrlo su sofisticirani, stoje milijune dolara za razvoj, često imaju kratak vijek trajanja i koriste se za ciljanje određenih pojedinaca. Iako to znači da nisu prijetnja velikoj većini naših korisnika, nastavljamo s radom neumorno braniti sve naše kupce, a mi stalno dodajemo nove zaštite za njihove uređaje i podaci."
Apple je uveo sigurnosnu mjeru pod nazivom "BlastDoor" kao dio iOS-a 14. To je pješčanik dizajniran da spriječi napade kao što je Pegasus. BlastDoor učinkovito okružuje iMessage i analizira sve nepouzdane podatke unutar njega, dok ga sprječava u interakciji s ostatkom sustava. Pregledano telefonskih zapisa Građanski laboratorij pokazuju da su eksploatacije koje je primijenila NSO Group uključivale ImageIO, posebno raščlanjivanje JPEG i GIF slika. "ImageIO je u 2021. prijavio više od tucet bugova visoke ozbiljnosti", Bill Marczak objasnio je na Twitteru.
Ovo je priča u razvoju i vrlo je vjerojatno da će Apple uskoro pokrenuti ažuriranje koje popravlja eksploatacije koje koristi Pegasus u aplikacijama kao što je iMessage. Ovakvi događaji naglašavaju važnost mjesečna sigurnosna ažuriranja, i zašto je uvijek važno imati najnovije instalirane.