ნულოვანი დაწკაპუნებით iMessage-ის ექსპლოიტი გამოიყენებოდა Pegasus-ის ჯაშუშური პროგრამის დასაყენებლად ჟურნალისტებისა და სხვა მაღალი დონის პირების სმარტფონებზე.
Apple-ს უყვარს იმის გარკვევა, თუ როგორ არის მისი iPhone ყველაზე უსაფრთხო სმარტფონი პლანეტაზე. მათ ახლახან ისაუბრეს იმაზე, თუ როგორ არის მათი სმარტფონები "ყველაზე უსაფრთხო სამომხმარებლო მობილური მოწყობილობა ბაზარზე"... მას შემდეგ, რაც მკვლევარებმა აღმოაჩინეს ნულოვანი დაწკაპუნებით iMessage ექსპლოიტი, რომელიც გამოიყენებოდა ჟურნალისტების საერთაშორისო ჯაშუშობისთვის.
საერთაშორისო ამნისტიაანგარიში გამოაქვეყნა მეორე დღეს ეს იყო განხილული მიერ მოქალაქეთა ლაბორატორიადა მოხსენებამ დაადასტურა, რომ პეგასუსი - თ NSO ჯგუფი-made spyware — წარმატებით დაინსტალირდა მოწყობილობებზე zero-day, ნულოვანი დაწკაპუნებით iMessage ექსპლოიტის საშუალებით. მკვლევარებმა აღმოაჩინეს მავნე პროგრამა, რომელიც მუშაობს iPhone 12 Pro Max მოწყობილობაზე, რომელიც მუშაობს iOS 14.6-ზე, iPhone-ზე. SE2 გაშვებული iOS 14.4 და iPhone SE2 გაშვებული iOS 14.0.1. iOS 14.0.1-ზე მომუშავე მოწყობილობას არ სჭირდებოდა ნულოვანი დღე ექსპლუატაცია.
გასულ წელს გამოიყენეს მსგავსი ექსპლოიტი (სახელწოდებით KISMET), რომელიც გამოიყენებოდა iOS 13.x მოწყობილობებზე და მკვლევარები მოქალაქეთა ლაბორატორია აღნიშნა, რომ KISMET არსებითად განსხვავდება იმ ტექნიკისგან, რომელსაც დღეს Pegasus იყენებს iOS 14-ში. პეგასუსი დიდი ხანია არსებობს და იყო პირველად დოკუმენტირებული 2016 წელს როდესაც აღმოჩნდა, რომ გამოიყენა სამი ნულოვანი დღის დაუცველობა iPhone-ებზე, თუმცა მაშინ ის ნაკლებად დახვეწილი იყო, რადგან მსხვერპლს მაინც უწევდა გაგზავნილ ბმულზე დაწკაპუნება.
ვაშინგტონ პოსტი დეტალური როგორ მუშაობდა ახალი ექსპლოიტის მეთოდი, როდესაც მან დაინფიცირდა მაროკოში ციხეში მყოფი პოლიტიკური აქტივისტის ფრანგი მეუღლის, კლოდ მანჟინის iPhone 11. როდესაც მისი ტელეფონი გამოიკვლიეს, ვერ დადგინდა, რა მონაცემები იქნა ამოღებული მისგან, მაგრამ ძალადობის პოტენციალი მაინც არაჩვეულებრივი იყო. ცნობილია, რომ Pegasus პროგრამული უზრუნველყოფა აგროვებს ელ.წერილებს, ზარების ჩანაწერებს, სოციალურ მედიაში პოსტებს, მომხმარებლის პაროლებს, კონტაქტების სიებს, სურათებს, ვიდეოებს, ხმის ჩანაწერებს და დათვალიერების ისტორიებს. მას შეუძლია კამერების და მიკროფონების გააქტიურება, ზარების და ხმოვანი ფოსტის მოსმენა და მდებარეობის ჟურნალების შეგროვებაც კი.
მანგინის შემთხვევაში, თავდასხმის ვექტორი იყო Gmail-ის მომხმარებლის მეშვეობით, სახელად "Linakeller2203". მანგინმა არ იცოდა ამ მომხმარებლის სახელის შესახებ და მისი ტელეფონი არაერთხელ იქნა გატეხილი Pegasus-ით 2020 წლის ოქტომბრიდან 2021 წლის ივნისამდე. მანგინის ტელეფონის ნომერი 50-ზე მეტი ქვეყნიდან 50000-ზე მეტი ტელეფონის ნომრის სიაში იყო, განხილული ვაშინგტონ პოსტი და რიგი სხვა საინფორმაციო ორგანიზაციები. NSO Group აცხადებს, რომ ის ლიცენზირებს ინსტრუმენტს ექსკლუზიურად სამთავრობო უწყებებზე ტერორიზმთან და სხვასთან საბრძოლველად. მძიმე დანაშაული, თუმცა უამრავი ჟურნალისტი, პოლიტიკური ფიგურა და გახმაურებული აქტივისტი აღმოჩნდა სია.
ვაშინგტონ პოსტი ასევე ნაპოვნია რომ სიაში ინდოეთის 1000 ტელეფონის ნომერი გამოჩნდა. ინდოეთში მოპოვებულმა და სასამართლო ანალიზმა 22 სმარტფონმა დაადგინა, რომ 10 იყო პეგასუსის სამიზნე, მათგან შვიდი წარმატებით. 12 მოწყობილობიდან რვა, რომლებიც მკვლევარებმა ვერ დაადგინეს, რომ კომპრომეტირებული იყო, იყო Android სმარტფონები. მიუხედავად იმისა, რომ iMessage, როგორც ჩანს, მსხვერპლის დაინფიცირების ყველაზე პოპულარული გზაა, არსებობს სხვა გზებიც.
უსაფრთხოების ლაბორატორია ზე საერთაშორისო ამნისტია გამოიკვლია 67 სმარტფონი, რომელთა ნომრებიც იყო სიაში და 37-ში აღმოაჩინა ინფექციების ან ინფექციის მცდელობის სასამართლო ექსპერტიზა. მათგან 34 იყო აიფონი, ხოლო 23-ს აღენიშნებოდა წარმატებული ინფექციის ნიშნები. 11 გამოვლინდა ინფექციის მცდელობის ნიშნები. გამოკვლეული 15 Android სმარტფონიდან მხოლოდ სამმა აჩვენა მცდელობის მტკიცებულება, თუმცა მკვლევარებმა აღნიშნეს, რომ ეს შეიძლება გამოწვეული იყოს იმით, რომ Android-ის ჟურნალები არც თუ ისე ყოვლისმომცველი იყო.
iOS მოწყობილობებზე მდგრადობა არ არის შენარჩუნებული და გადატვირთვა არის Pegasus პროგრამული უზრუნველყოფის დროებით ამოღების საშუალება. გარეგნულად, ეს კარგია, მაგრამ ასევე ართულებს პროგრამული უზრუნველყოფის აღმოჩენას. ბილ მარკზაკი მოქალაქეთა ლაბორატორია გამოვიდა Twitter-ზე, რათა დეტალურად აეხსნა რამდენიმე ნაწილი, მათ შორის იმის ახსნა, რომ Pegasus spyware არ არის აქტიური მანამ, სანამ ნულოვანი დაწკაპუნების შეტევა არ მოხდება გადატვირთვის შემდეგ.
Apple-ის უსაფრთხოების ინჟინერიისა და არქიტექტურის ხელმძღვანელმა ივან კრსტიჩმა გააკეთა განცხადება, რომელიც იცავდა Apple-ის ძალისხმევას.
„Apple ცალსახად გმობს კიბერთავდასხმებს ჟურნალისტებზე, უფლებადამცველებსა და სხვებზე, რომლებიც ცდილობენ სამყარო უკეთეს ადგილად აქციონ. ათ წელზე მეტი ხნის განმავლობაში, Apple ხელმძღვანელობდა ინდუსტრიას უსაფრთხოების ინოვაციებში და, შედეგად, უსაფრთხოების მკვლევარები თანხმდებიან, რომ iPhone არის ყველაზე უსაფრთხო, ყველაზე უსაფრთხო სამომხმარებლო მობილური მოწყობილობა ბაზარზე.“ – ნათქვამია მან განცხადებაში. „შეტევები, როგორიც აღწერილია, ძალიან დახვეწილია, განვითარებას მილიონობით დოლარი უჯდება, ხშირად ხანმოკლე ვარგისიანობის ვადა და გამოიყენება კონკრეტული პირების მიმართ. მიუხედავად იმისა, რომ ეს ნიშნავს, რომ ისინი საფრთხეს არ წარმოადგენს ჩვენი მომხმარებლების აბსოლუტური უმრავლესობისთვის, ჩვენ ვაგრძელებთ მუშაობას დაუღალავად დავიცვათ ყველა ჩვენი მომხმარებელი და ჩვენ მუდმივად ვამატებთ ახალ დაცვას მათი მოწყობილობებისთვის და მონაცემები.”
Apple-მა შემოიღო უსაფრთხოების ღონისძიება სახელწოდებით "BlastDoor", როგორც iOS 14-ის ნაწილი. ეს არის ქვიშის ყუთი, რომელიც შექმნილია პეგასუსის მსგავსი შეტევების თავიდან ასაცილებლად. BlastDoor ეფექტურად აკრავს iMessage-ს და აანალიზებს მის შიგნით არსებულ ყველა არასანდო მონაცემს, ამავდროულად ხელს უშლის მას სისტემის დანარჩენ ნაწილთან ურთიერთქმედებას. სატელეფონო ჟურნალები ნანახია მოქალაქეთა ლაბორატორია აჩვენებს, რომ NSO Group-ის მიერ განლაგებული ექსპლოიტები მოიცავდა ImageIO-ს, კონკრეტულად JPEG და GIF სურათების ანალიზს. „ImageIO-ს 2021 წელს ათზე მეტი მაღალი სიმძიმის შეცდომა ჰქონდა მოხსენებული“, ამის შესახებ ბილ მარკზაკმა Twitter-ზე განაცხადა.
ეს არის განვითარებადი ამბავი და სავარაუდოა, რომ Apple მალე განაახლებს განახლებას Pegasus-ის მიერ გამოყენებული ექსპლოიტების გამოსწორების მიზნით აპებში, როგორიცაა iMessage. ასეთი სახის ღონისძიებები ხაზს უსვამს მის მნიშვნელობას უსაფრთხოების ყოველთვიური განახლებებიდა რატომ არის ყოველთვის მნიშვნელოვანი უახლესი მოწყობილობების დაყენება.