Egy nulla kattintásos iMessage exploit segítségével telepítették a Pegasus spyware-t újságírók és más nagy horderejű személyek okostelefonjára.
Az Apple szereti bemutatni, hogy iPhone-ja a legbiztonságosabb okostelefon a világon. Nemrég arról beszéltek, hogy okostelefonjaik a "legbiztonságosabb fogyasztói mobileszköz a piacon"... közvetlenül azután, hogy a kutatók felfedeztek egy nulla kattintásos iMessage-exploitot, amellyel nemzetközi szinten kémkedtek újságírók után.
Az Amnesty Internationaljelentést tett közzé a minap az volt szakértői értékelés által Citizen Lab, és a jelentés megerősítette, hogy Pegasus - a NSO csoport-made spyware – sikeresen telepítve lett az eszközökre nulla napos, nulla kattintásos iMessage exploit segítségével. A kutatók felfedezték a rosszindulatú szoftvert, amely egy iPhone 12 Pro Max eszközön fut, amely iOS 14.6 rendszeren fut. iOS 14.4-et futtató SE2 és iOS 14.0.1-et futtató iPhone SE2. Az iOS 14.0.1-et futtató eszköz nem igényelt nulladik napot kihasználni.
Tavaly egy hasonló exploitot alkalmaztak (KISMET néven), amelyet iOS 13.x eszközökön használtak, és a kutatók Citizen Lab megjegyezte, hogy a KISMET lényegesen különbözik a Pegasus által az iOS 14-ben jelenleg alkalmazott technikáktól. A Pegasus már régóta létezik és volt először 2016-ban dokumentálták amikor kiderült, hogy három nulladik napi sebezhetőséget használt ki az iPhone-okon, bár akkoriban ez kevésbé volt kifinomult, mivel az áldozatnak még mindig rá kellett kattintania a küldött linkre.
A Washington Post részletes hogyan működött az új kizsákmányoló módszer, amikor megfertőzte Claude Mangin, a Marokkóban bebörtönzött politikai aktivista francia feleségének iPhone 11-ét. A telefonját megvizsgálva nem lehetett megállapítani, hogy milyen adatokat szűrtek ki belőle, de a visszaélés lehetősége ennek ellenére rendkívüli volt. A Pegasus szoftverről ismert, hogy e-maileket, hívásnaplókat, közösségi média bejegyzéseket, felhasználói jelszavakat, névjegyzékeket, képeket, videókat, hangfelvételeket és böngészési előzményeket gyűjt. Képes kamerákat és mikrofonokat aktiválni, hívásokat és hangpostákat hallgatni, sőt helynaplókat is gyűjthet vele.
Mangin esetében a támadás vektora egy "Linakeller2203" nevű Gmail-felhasználón keresztül történt. Mangin nem tudott erről a felhasználónévről, és telefonját többször is feltörték a Pegasusszal 2020 októbere és 2021 júniusa között. Mangin telefonszáma szerepelt a több mint 50 országból származó több mint 50 000 telefonszámot tartalmazó listán. A Washington Post és számos más hírszervezet. Az NSO Group azt állítja, hogy az eszközt kizárólag kormányzati ügynökségeknek engedélyezi a terrorizmus és egyéb elleni küzdelem érdekében súlyos bűncselekmények, bár számtalan újságírót, politikai személyiséget és nagy horderejű aktivistát találtak a lista.
A Washington Post is megtalált hogy 1000 indiai telefonszám jelent meg a listán. 22 Indiában beszerzett és igazságügyi szakértői elemzés szerint 10 okostelefont vettek célba a Pegasus, közülük hetet sikeresen. A 12 eszköz közül nyolc, amelyről a kutatók nem tudták megállapítani, hogy veszélybe kerültek, androidos okostelefonok voltak. Bár úgy tűnik, hogy az iMessage a legnépszerűbb módja az áldozatok megfertőzésének, vannak más módok is.
A biztonsági labor a Az Amnesty International 67 okostelefont vizsgáltak meg, amelyek száma szerepelt a listán, és ezek közül 37-ben talált fertőzésre vagy fertőzési kísérletre utaló bizonyítékot. Ezek közül 34 iPhone volt, és 23-on a sikeres fertőzés jelei mutatkoztak. 11-en fertőzési kísérlet jelei mutatkoztak. A 15 vizsgált androidos okostelefon közül csak három mutatott kísérletet, bár a kutatók megjegyezték, hogy ez annak tudható be, hogy az Android naplói nem voltak olyan átfogóak.
iOS-eszközökön a rendszer nem tartja fenn a perzisztenciát, és az újraindítás a Pegasus szoftver ideiglenes eltávolításának egyik módja. A felszínen ez jó dolognak tűnik, de a szoftver észlelését is megnehezítette. Bill Marczak a Citizen Lab a Twitteren részletesen elmagyarázott néhány további részt, beleértve azt is, hogy a Pegasus spyware miért nem aktív, amíg a nulla kattintásos támadás el nem indul az újraindítás után.
Ivan Krstić, az Apple Security Engineering and Architecture vezetője nyilatkozatban védte meg az Apple erőfeszítéseit.
„Az Apple egyértelműen elítéli az újságírók, emberi jogi aktivisták és mások elleni kibertámadásokat, akik a világot jobb hellyé szeretnék tenni. Az Apple több mint egy évtizede vezeti az iparágat a biztonsági innováció terén, és ennek eredményeként a biztonsági kutatók egyetértenek abban, hogy az iPhone a legbiztonságosabb és legbiztonságosabb fogyasztói mobileszköz a piacon.” – fogalmazott közleményében. „A leírtakhoz hasonló támadások rendkívül kifinomultak, kifejlesztésük dollármilliókba kerül, gyakran rövid a szavatossági idejük, és meghatározott egyének megcélzására szolgálnak. Bár ez azt jelenti, hogy nem jelentenek veszélyt felhasználóink túlnyomó többségére, továbbra is dolgozunk fáradhatatlanul megvédeni minden ügyfelünket, és folyamatosan új védelemmel egészítjük ki készülékeiket és adat."
Az Apple bevezette a "BlastDoor" névre keresztelt biztonsági intézkedést az iOS 14 részeként. Ez egy homokozó, amelyet arra terveztek, hogy megakadályozza a Pegazushoz hasonló támadásokat. A BlastDoor hatékonyan veszi körül az iMessage-t, és elemzi benne az összes nem megbízható adatot, miközben megakadályozza, hogy az interakcióba lépjen a rendszer többi részével. A telefonnaplókat megtekintette Citizen Lab megmutatják, hogy az NSO Group által alkalmazott kihasználások az ImageIO-t érintették, különösen a JPEG és GIF képek elemzését. "Az ImageIO-nál több mint egy tucat súlyos hibát jelentettek ellene 2021-ben" Bill Marczak a Twitteren magyarázta.
Ez egy fejlődő történet, és valószínű, hogy az Apple hamarosan olyan frissítést fog kiadni, amely javítja a Pegasus által az olyan alkalmazásokban használt exploitokat, mint az iMessage. Az ilyen jellegű események rávilágítanak a fontosságára havi biztonsági frissítések, és miért fontos mindig a legújabbak telepítése.