Nulinio paspaudimo „iMessage“ išnaudojimas buvo naudojamas „Pegasus“ šnipinėjimo programoms įdiegti žurnalistų ir kitų aukšto lygio asmenų išmaniuosiuose telefonuose.
„Apple“ mėgsta skelbti, kad jos „iPhone“ yra saugiausias išmanusis telefonas planetoje. Neseniai jie kalbėjo apie tai, kad jų išmanieji telefonai yra „saugiausias vartotojų mobilusis įrenginys rinkoje“. iškart po to, kai mokslininkai atrado nulinio paspaudimo „iMessage“ išnaudojimą, naudojamą šnipinėjant žurnalistus tarptautiniu mastu.
Amnesty Internationalpaskelbė pranešimą kita diena tai buvo recenzuotas pateikė Piliečių laboratorija, o ataskaita patvirtino, kad Pegasas NSO grupė-pagaminta šnipinėjimo programa – buvo sėkmingai įdiegta įrenginiuose naudojant nulinės dienos, nulio paspaudimo „iMessage“ išnaudojimą. Tyrėjai aptiko kenkėjišką programinę įrangą, veikiančią iPhone 12 Pro Max įrenginyje, kuriame veikia iOS 14.6, iPhone SE2, kuriame veikia iOS 14.4, ir iPhone SE2, kuriame veikia iOS 14.0.1. Įrenginyje, kuriame veikia iOS 14.0.1, nereikėjo nulinės dienos išnaudoti.
Praėjusiais metais buvo panaudotas panašus išnaudojimas (pavadintas KISMET), kuris buvo naudojamas iOS 13.x įrenginiuose, o tyrėjai Piliečių laboratorija pažymėjo, kad KISMET iš esmės skiriasi nuo šiandien Pegasus naudojamų metodų iOS 14. Pegasas gyvuoja jau seniai ir buvo pirmą kartą dokumentuotas 2016 m kai buvo nustatyta, kad buvo išnaudojami trys nulinės dienos pažeidžiamumai „iPhone“, nors tada jis buvo mažiau sudėtingas, nes auka vis tiek turėjo spustelėti atsiųstą nuorodą.
„The Washington Post“. detalus kaip veikė naujasis išnaudojimo metodas, kai jis užkrėtė Maroke įkalinto politinio aktyvisto žmonos prancūzės Claude'o Mangino „iPhone 11“. Apžiūrėjus jos telefoną, nepavyko nustatyti, kokie duomenys iš jo buvo išfiltruoti, tačiau piktnaudžiavimo galimybė vis dėlto buvo nepaprasta. Yra žinoma, kad Pegasus programinė įranga renka el. laiškus, skambučių įrašus, socialinių tinklų įrašus, vartotojų slaptažodžius, kontaktų sąrašus, paveikslėlius, vaizdo įrašus, garso įrašus ir naršymo istorijas. Jis gali suaktyvinti kameras ir mikrofonus, klausytis skambučių ir balso pašto pranešimų ir netgi rinkti vietos žurnalus.
Mangino atveju atakos vektorius buvo per „Gmail“ vartotoją, pavadintą „Linakeller2203“. Mangin nežinojo šio vartotojo vardo, o nuo 2020 m. spalio mėn. iki 2021 m. birželio mėn. jos telefonas buvo kelis kartus nulaužtas kartu su „Pegasus“. Mangino telefono numeris buvo įtrauktas į daugiau nei 50 000 telefono numerių iš daugiau nei 50 šalių sąrašą, kurį peržiūrėjo „The Washington Post“. ir daugybė kitų naujienų organizacijų. „NSO Group“ teigia, kad įrankį licencijuoja išimtinai vyriausybinėms agentūroms, siekiant kovoti su terorizmu ir kt sunkių nusikaltimų, nors buvo nustatyta, kad daugybė žurnalistų, politinių veikėjų ir garsių aktyvistų sąrašą.
„The Washington Post“. taip pat rasta kad sąraše atsirado 1000 telefono numerių Indijoje. Indijoje gauti ir teismo ekspertizės būdu ištirti 22 išmanieji telefonai nustatė, kad 10 buvo nukreipti į Pegasus, septyni iš jų sėkmingai. Aštuoni iš 12 įrenginių, kurių tyrėjai negalėjo nustatyti, kad buvo pažeisti, buvo „Android“ išmanieji telefonai. Nors atrodo, kad „iMessage“ yra populiariausias būdas užkrėsti auką, yra ir kitų būdų.
Apsaugos laboratorija adresu Amnesty International ištyrė 67 išmaniuosius telefonus, kurių numeriai buvo sąraše, ir 37 iš jų nustatė infekcijų ar bandymų užsikrėsti įrodymus. 34 iš jų buvo iPhone, o 23 buvo sėkmingos infekcijos požymių. 11 pasireiškė bandymo užsikrėsti požymių. Tik trys iš 15 ištirtų „Android“ išmaniųjų telefonų parodė bandymą, nors mokslininkai pažymėjo, kad taip gali būti dėl to, kad „Android“ žurnalai nebuvo tokie išsamūs.
„IOS“ įrenginiuose nepalaikomas patvarumas, o perkrovimas yra būdas laikinai pašalinti „Pegasus“ programinę įrangą. Iš pažiūros tai atrodo gerai, tačiau dėl to programinės įrangos aptikimas taip pat apsunkina. Billas Marczakas iš Piliečių laboratorija „Twitter“ išsamiai paaiškino kai kurias dalis, įskaitant paaiškinimą, kaip „Pegasus“ šnipinėjimo programa nėra aktyvi, kol po perkrovimo nebus paleista nulinio paspaudimo ataka.
Ivan Krstić, Apple Security Engineering and Architecture vadovas, pateikė pareiškimą, gindamas Apple pastangas.
„Apple nedviprasmiškai smerkia kibernetines atakas prieš žurnalistus, žmogaus teisių aktyvistus ir kitus, siekiančius padaryti pasaulį geresnį. Daugiau nei dešimtmetį „Apple“ pirmauja saugumo inovacijų srityje, todėl saugumo tyrinėtojai sutaria, kad „iPhone“ yra saugiausias ir saugiausias vartotojų mobilusis įrenginys rinkoje.“, - sakoma jo pranešime. „Tokios atakos, kaip aprašytos, yra labai sudėtingos, kainuoja milijonus dolerių, dažnai jų galiojimo laikas yra trumpas ir yra naudojamos konkretiems asmenims. Nors tai reiškia, kad jie nekelia grėsmės didžiajai daugumai mūsų vartotojų, mes ir toliau dirbame nenuilstamai ginti visus savo klientus, o mes nuolat pridedame naujų apsaugos priemonių jų įrenginiams ir duomenis“.
„Apple“ pristatė saugumo priemonę, pavadintą „BlastDoor“, kaip „iOS 14“ dalį. Tai smėlio dėžė, skirta užkirsti kelią tokiems išpuoliams kaip Pegasus. „BlastDoor“ efektyviai supa „iMessage“ ir išanalizuoja visus jame esančius nepatikimus duomenis, neleidžiant jam sąveikauti su likusia sistemos dalimi. Telefonų žurnalus peržiūrėjo Piliečių laboratorija parodyti, kad NSO grupės panaudoti išnaudojimai apėmė ImageIO, ypač JPEG ir GIF vaizdų analizę. „2021 m. „ImageIO“ buvo pranešta apie daugiau nei tuziną labai pavojingų klaidų“, Billas Marczakas paaiškino „Twitter“..
Tai besivystanti istorija ir tikėtina, kad „Apple“ netrukus paskelbs atnaujinimą, ištaisantį „Pegasus“ naudojamus išnaudojimus tokiose programose kaip „iMessage“. Tokie renginiai pabrėžia jų svarbą mėnesiniai saugos naujinimai, ir kodėl visada svarbu turėti naujausius.