Eksploitasi iMessage tanpa klik digunakan untuk memata-matai jurnalis

Apple senang memuji bagaimana iPhone-nya adalah ponsel pintar paling aman di dunia. Mereka baru-baru ini berbicara tentang bagaimana ponsel cerdas mereka menjadi "perangkat seluler konsumen paling aman di pasar"... tepat setelah para peneliti menemukan eksploitasi iMessage zero-click yang digunakan untuk memata-matai jurnalis internasional.

Amnesti Internasionalmenerbitkan laporan tempo hari itu ditinjau oleh rekan sejawat oleh Lab Warga, dan laporan tersebut mengkonfirmasi bahwa Pegasus — itu Grup NSOspyware buatan — berhasil diinstal pada perangkat melalui eksploitasi iMessage zero-day dan zero-click. Para peneliti menemukan perangkat lunak berbahaya yang berjalan pada perangkat iPhone 12 Pro Max yang menjalankan iOS 14.6, sebuah iPhone SE2 menjalankan iOS 14.4, dan iPhone SE2 menjalankan iOS 14.0.1. Perangkat yang menjalankan iOS 14.0.1 tidak memerlukan zero-day mengeksploitasi.

Tahun lalu, eksploitasi serupa digunakan (dijuluki Kismet) yang digunakan pada perangkat iOS 13.x, dan para peneliti di Lab Warga mencatat bahwa Kismet secara substansial berbeda dari teknik yang digunakan oleh Pegasus saat ini di iOS 14. Pegasus telah ada sejak lama dan masih ada pertama kali didokumentasikan pada tahun 2016 ketika ditemukan mengeksploitasi tiga kerentanan zero-day di iPhone, meski saat itu kurang canggih karena korban masih harus mengklik link yang dikirimkan.

Washington Post terperinci bagaimana metode eksploitasi baru bekerja ketika menginfeksi iPhone 11 milik Claude Mangin, istri seorang aktivis politik Perancis yang dipenjara di Maroko. Saat ponselnya diperiksa, tidak dapat diidentifikasi data apa yang diambil dari ponsel tersebut, namun potensi penyalahgunaannya tetap luar biasa. Perangkat lunak Pegasus diketahui mengumpulkan email, catatan panggilan, postingan media sosial, kata sandi pengguna, daftar kontak, gambar, video, rekaman suara, dan riwayat penelusuran. Ia dapat mengaktifkan kamera dan mikrofon, mendengarkan panggilan dan pesan suara, dan bahkan mengumpulkan log lokasi.

Dalam kasus Mangin, vektor serangan dilakukan melalui pengguna Gmail dengan nama "Linakeller2203". Mangin tidak mengetahui nama pengguna tersebut, dan ponselnya telah diretas beberapa kali dengan Pegasus antara Oktober 2020 dan Juni 2021. Nomor telepon Mangin ada dalam daftar lebih dari 50.000 nomor telepon di lebih dari 50 negara, ditinjau oleh Washington Post dan sejumlah organisasi berita lainnya. NSO Group mengatakan bahwa mereka melisensikan alat tersebut secara eksklusif kepada lembaga pemerintah untuk memerangi terorisme dan lainnya kejahatan serius, meskipun banyak sekali jurnalis, tokoh politik, dan aktivis terkenal yang terlibat dalam kasus ini daftar.

Washington Post Juga ditemukan bahwa 1.000 nomor telepon di India telah muncul dalam daftar. 22 ponsel pintar yang diperoleh dan dianalisis secara forensik di India menemukan bahwa 10 ponsel menjadi sasaran Pegasus, tujuh di antaranya berhasil. Delapan dari 12 perangkat yang tidak dapat ditentukan oleh para peneliti telah disusupi adalah ponsel pintar Android. Meskipun iMessage tampaknya menjadi cara paling populer untuk menginfeksi korban, ada juga cara lain.

Laboratorium keamanan di Amnesti Internasional memeriksa 67 ponsel pintar yang nomornya ada dalam daftar dan menemukan bukti forensik adanya infeksi atau upaya infeksi pada 37 ponsel tersebut. 34 di antaranya adalah iPhone, dan 23 menunjukkan tanda-tanda keberhasilan infeksi. 11 menunjukkan tanda-tanda percobaan infeksi. Hanya tiga dari 15 smartphone Android yang diperiksa menunjukkan bukti adanya upaya tersebut, meskipun para peneliti mencatat bahwa hal ini mungkin disebabkan oleh fakta bahwa log Android tidak begitu komprehensif.

Pada perangkat iOS, persistensi tidak dipertahankan, dan melakukan boot ulang adalah cara untuk menghapus sementara perangkat lunak Pegasus. Di permukaan, hal ini tampak seperti hal yang baik, namun hal ini juga mempersulit pendeteksian perangkat lunak. Bill Marczak dari Lab Warga turun ke Twitter untuk menjelaskan beberapa bagian lagi secara mendetail, termasuk menjelaskan bagaimana spyware Pegasus tidak aktif hingga serangan zero-click diluncurkan setelah reboot.

Ivan Krstić, kepala Teknik dan Arsitektur Keamanan Apple, memberikan pernyataan yang membela upaya Apple.

“Apple dengan tegas mengutuk serangan siber terhadap jurnalis, aktivis hak asasi manusia, dan pihak lain yang berupaya membuat dunia menjadi tempat yang lebih baik. Selama lebih dari satu dekade, Apple telah memimpin industri dalam inovasi keamanan dan, sebagai hasilnya, para peneliti keamanan sepakat bahwa iPhone adalah perangkat seluler konsumen yang paling aman dan terjamin di pasar.katanya dalam sebuah pernyataan. “Serangan seperti yang dijelaskan di atas sangatlah canggih, membutuhkan biaya jutaan dolar untuk dikembangkan, sering kali memiliki umur yang pendek, dan digunakan untuk menargetkan individu tertentu. Meskipun hal ini berarti mereka bukan ancaman bagi sebagian besar pengguna kami, kami terus berupaya tanpa lelah untuk membela semua pelanggan kami, dan kami terus menambahkan perlindungan baru untuk perangkat dan data."

Apple memperkenalkan langkah keamanan yang dijuluki "BlastDoor" sebagai bagian dari iOS 14. Ini adalah kotak pasir yang dirancang untuk mencegah terjadinya serangan seperti Pegasus. BlastDoor secara efektif mengelilingi iMessage dan mem-parsing semua data tidak tepercaya di dalamnya, sekaligus mencegahnya berinteraksi dengan seluruh sistem. Log telepon dilihat oleh Lab Warga menunjukkan bahwa eksploitasi yang diterapkan oleh NSO Group melibatkan ImageIO, khususnya penguraian gambar JPEG dan GIF. "ImageIO telah melaporkan lebih dari selusin bug dengan tingkat keparahan tinggi pada tahun 2021", Bill Marczak menjelaskan di Twitter.

Ini adalah cerita yang berkembang, dan kemungkinan besar Apple akan segera meluncurkan pembaruan untuk memperbaiki eksploitasi yang digunakan oleh Pegasus di aplikasi seperti iMessage. Peristiwa semacam ini menyoroti pentingnya pembaruan keamanan bulanan, dan mengapa selalu penting untuk menginstal yang terbaru.