Per installare lo spyware Pegasus sugli smartphone di giornalisti e altre persone di alto profilo è stato utilizzato un exploit iMessage senza clic.
Apple ama sottolineare come il suo iPhone sia lo smartphone più sicuro del pianeta. Recentemente hanno parlato di come i loro smartphone siano il "dispositivo mobile consumer più sicuro sul mercato"... subito dopo che i ricercatori hanno scoperto un exploit iMessage zero-click utilizzato per spiare i giornalisti a livello internazionale.
Amnesty Internationalha pubblicato un rapporto l'altro giorno era così peer reviewed di Laboratorio cittadino, e il rapporto ha confermato che Pegasus — il Gruppo NSO-spyware creato con successo: è stato installato con successo sui dispositivi tramite un exploit iMessage zero-day e zero-click. I ricercatori hanno scoperto il software dannoso in esecuzione su un dispositivo iPhone 12 Pro Max con iOS 14.6, un iPhone SE2 con iOS 14.4 e un iPhone SE2 con iOS 14.0.1. Il dispositivo con iOS 14.0.1 non richiedeva zero-day impresa.
L'anno scorso è stato utilizzato un exploit simile (soprannominato KISMET) sui dispositivi iOS 13.x e i ricercatori di Laboratorio cittadino ha notato che KISMET è sostanzialmente diverso dalle tecniche utilizzate oggi da Pegasus in iOS 14. Pegasus esiste da molto tempo e lo era documentato per la prima volta nel 2016 quando si scoprì che sfruttava tre vulnerabilità zero-day sugli iPhone, anche se allora era meno sofisticato poiché la vittima doveva comunque fare clic sul collegamento inviato.
Il Washington Post dettagliato come ha funzionato il nuovo metodo di exploit quando ha infettato l'iPhone 11 di Claude Mangin, la moglie francese di un attivista politico incarcerato in Marocco. Quando il suo telefono è stato esaminato, non è stato possibile identificare quali dati ne fossero stati sottratti, ma il potenziale di abuso era comunque straordinario. Il software Pegasus è noto per raccogliere e-mail, registri delle chiamate, post sui social media, password degli utenti, elenchi di contatti, immagini, video, registrazioni audio e cronologie di navigazione. Può attivare telecamere e microfoni, ascoltare chiamate e messaggi vocali e persino raccogliere registri di posizione.
Nel caso di Mangin, il vettore dell'attacco è avvenuto tramite un utente Gmail chiamato "Linakeller2203". Mangin non era a conoscenza di quel nome utente e il suo telefono era stato violato più volte con Pegasus tra ottobre 2020 e giugno 2021. Il numero di telefono di Mangin era su un elenco di oltre 50.000 numeri di telefono provenienti da più di 50 paesi, revisionati da Il Washington Post e una serie di altre testate giornalistiche. NSO Group afferma di concedere in licenza lo strumento esclusivamente ad agenzie governative al fine di combattere il terrorismo e altro crimini gravi, sebbene siano stati trovati innumerevoli giornalisti, personaggi politici e attivisti di alto profilo elenco.
Il Washington Post Anche trovato che nell'elenco erano comparsi 1.000 numeri di telefono in India. Su 22 smartphone ottenuti e analizzati in modo forense in India è emerso che 10 sono stati presi di mira da Pegasus, sette dei quali con successo. Otto dei 12 dispositivi che i ricercatori non sono riusciti a determinare fossero compromessi erano smartphone Android. Anche se iMessage sembra essere il modo più popolare per infettare una vittima, esistono anche altri modi.
Il laboratorio di sicurezza di Amnesty International ha esaminato 67 smartphone i cui numeri figuravano sull'elenco e in 37 di essi sono state riscontrate prove forensi di infezioni o tentativi di infezione. 34 di questi erano iPhone e 23 mostravano segni di infezione avvenuta con successo. 11 presentavano segni di tentato contagio. Solo tre dei 15 smartphone Android esaminati hanno mostrato prove di un tentativo, anche se i ricercatori hanno notato che ciò potrebbe essere dovuto al fatto che i registri di Android non erano così completi.
Sui dispositivi iOS, la persistenza non viene mantenuta e il riavvio è un modo per rimuovere temporaneamente il software Pegasus. A prima vista sembra una buona cosa, ma rende anche più difficile il rilevamento del software. Bill Marczak di Laboratorio cittadino si è rivolto a Twitter per spiegare alcune parti in dettaglio, inclusa la spiegazione di come lo spyware Pegasus non sia attivo finché l'attacco zero-click non viene lanciato dopo un riavvio.
Ivan Krstić, capo del settore Ingegneria e architettura della sicurezza di Apple, ha rilasciato una dichiarazione in difesa degli sforzi di Apple.
“Apple condanna inequivocabilmente gli attacchi informatici contro giornalisti, attivisti per i diritti umani e altri soggetti che cercano di rendere il mondo un posto migliore. Per oltre un decennio, Apple è stata leader del settore nell’innovazione della sicurezza e, di conseguenza, i ricercatori in materia di sicurezza concordano che l’iPhone è il dispositivo mobile consumer più sicuro sul mercato.", ha detto in un comunicato. “Attacchi come quelli descritti sono altamente sofisticati, costano milioni di dollari per essere sviluppati, spesso hanno una breve durata e vengono utilizzati per prendere di mira individui specifici. Anche se ciò significa che non rappresentano una minaccia per la stragrande maggioranza dei nostri utenti, continuiamo a lavorare instancabilmente per difendere tutti i nostri clienti e aggiungiamo costantemente nuove protezioni per i loro dispositivi e dati."
Apple ha introdotto una misura di sicurezza denominata "BlastDoor" come parte di iOS 14. È un sandbox progettato per impedire che si verifichino attacchi come Pegasus. BlastDoor circonda efficacemente iMessage e analizza tutti i dati non attendibili al suo interno, impedendogli di interagire con il resto del sistema. Registri telefonici visualizzati da Laboratorio cittadino mostrano che gli exploit implementati da NSO Group coinvolgevano ImageIO, in particolare l'analisi di immagini JPEG e GIF. "ImageIO ha ricevuto più di una dozzina di bug di elevata gravità segnalati nel 2021", Bill Marczak lo ha spiegato su Twitter.
Questa è una storia in via di sviluppo ed è probabile che Apple rilascerà presto un aggiornamento che risolverà gli exploit utilizzati da Pegasus in app come iMessage. Questo tipo di eventi evidenziano l'importanza di aggiornamenti mensili di sicurezzae perché è sempre importante avere quelli più recenti installati.