Zero-click iMessage-exploit werd gebruikt om journalisten te bespioneren

Er werd gebruik gemaakt van een zero-click iMessage-exploit om de Pegasus-spyware op de smartphones van journalisten en andere spraakmakende personen te installeren.

Apple prijst graag dat zijn iPhone de veiligste smartphone ter wereld is. Ze spraken onlangs over hoe hun smartphones het "meest veilige mobiele consumentenapparaat op de markt" zijn... direct nadat onderzoekers een zero-click iMessage-exploit ontdekten die werd gebruikt om journalisten internationaal te bespioneren.

Amnesty Internationaleen rapport gepubliceerd laatst was dat peer-reviewed door Burgerlaboratorium, en het rapport bevestigde dat Pegasus – de NSO Groep-gemaakte spyware — werd met succes op apparaten geïnstalleerd via een zero-day, zero-click iMessage-exploit. De onderzoekers ontdekten de kwaadaardige software die draaide op een iPhone 12 Pro Max-apparaat met iOS 14.6, een iPhone SE2 met iOS 14.4 en een iPhone SE2 met iOS 14.0.1. Het apparaat met iOS 14.0.1 had geen zero-day nodig uitbuiten.

Vorig jaar werd een soortgelijke exploit gebruikt (genaamd KISMET) die werd gebruikt op iOS 13.x-apparaten, en de onderzoekers van

Burgerlaboratorium merkte op dat KISMET substantieel verschilt van de technieken die Pegasus vandaag gebruikt in iOS 14. Pegasus bestaat al heel lang en was dat ook voor het eerst gedocumenteerd in 2016 toen bleek dat het misbruik maakte van drie zero-day-kwetsbaarheden op iPhones, hoewel het destijds minder geavanceerd was omdat het slachtoffer nog steeds op de verzonden link moest klikken.

De Washingtonpost gedetailleerd hoe de nieuwe exploit-methode werkte toen deze de iPhone 11 van Claude Mangin infecteerde, de Franse vrouw van een politieke activist die in Marokko gevangen zat. Toen haar telefoon werd onderzocht, kon niet worden vastgesteld welke gegevens eruit waren geëxfiltreerd, maar de kans op misbruik was niettemin buitengewoon. Het is bekend dat de Pegasus-software e-mails, oproepgegevens, posts op sociale media, gebruikerswachtwoorden, contactlijsten, afbeeldingen, video's, geluidsopnamen en browsegeschiedenis verzamelt. Het kan camera's en microfoons activeren, het kan naar oproepen en voicemails luisteren en het kan zelfs locatielogboeken verzamelen.

In het geval van Mangin verliep de aanval via een Gmail-gebruiker met de naam "Linakeller2203". Mangin kende die gebruikersnaam niet en haar telefoon was tussen oktober 2020 en juni 2021 meerdere keren gehackt met Pegasus. Het telefoonnummer van Mangin stond op een lijst van meer dan 50.000 telefoonnummers uit meer dan 50 landen, beoordeeld door De Washingtonpost en een aantal andere nieuwsorganisaties. NSO Group zegt dat het de tool uitsluitend in licentie geeft aan overheidsinstanties om onder meer terrorisme te bestrijden ernstige misdaden, hoewel er talloze journalisten, politieke figuren en spraakmakende activisten zijn aangetroffen lijst.

De Washingtonpost Ook gevonden dat 1.000 telefoonnummers in India op de lijst waren verschenen. Uit 22 smartphones die in India werden verkregen en forensisch geanalyseerd, bleek dat er 10 het doelwit waren van Pegasus, waarvan zeven met succes. Acht van de twaalf apparaten waarvan de onderzoekers niet konden vaststellen dat ze besmet waren, waren Android-smartphones. Hoewel iMessage de populairste manier lijkt om een ​​slachtoffer te infecteren, zijn er ook andere manieren.

Het beveiligingslaboratorium van Amnesty International onderzocht 67 smartphones waarvan de nummers op de lijst stonden en vond in 37 daarvan forensisch bewijs van infecties of pogingen tot infectie. 34 daarvan waren iPhones en 23 vertoonden tekenen van een succesvolle infectie. 11 vertoonden tekenen van een poging tot infectie. Slechts drie van de vijftien onderzochte Android-smartphones vertoonden bewijs van een poging, hoewel onderzoekers opmerkten dat dit te wijten zou kunnen zijn aan het feit dat de logboeken van Android niet zo uitgebreid waren.

Op iOS-apparaten wordt de persistentie niet gehandhaafd en is opnieuw opstarten een manier om de Pegasus-software tijdelijk te verwijderen. Op het eerste gezicht lijkt dit een goede zaak, maar het maakt het ook moeilijker om de software te detecteren. Bill Marczak van Burgerlaboratorium ging naar Twitter om nog enkele onderdelen in detail uit te leggen, waaronder hoe de Pegasus-spyware niet actief is totdat de zero-click-aanval wordt afgevuurd na een herstart.

Ivan Krstić, hoofd van Apple Security Engineering and Architecture, legde een verklaring af waarin hij de inspanningen van Apple verdedigde.

“Apple veroordeelt ondubbelzinnig cyberaanvallen tegen journalisten, mensenrechtenactivisten en anderen die de wereld een betere plek willen maken. Al meer dan tien jaar loopt Apple voorop in de sector op het gebied van beveiligingsinnovatie en als gevolg daarvan zijn beveiligingsonderzoekers het erover eens dat iPhone het veiligste mobiele consumentenapparaat op de markt is.', zei hij in een verklaring. “Aanvallen zoals de beschreven aanvallen zijn zeer geavanceerd, kosten miljoenen dollars om te ontwikkelen, hebben vaak een korte houdbaarheid en worden gebruikt om specifieke individuen te targeten. Hoewel dat betekent dat ze geen bedreiging vormen voor de overgrote meerderheid van onze gebruikers, blijven we eraan werken onvermoeibaar om al onze klanten te verdedigen, en we voegen voortdurend nieuwe beveiligingen toe voor hun apparaten en gegevens."

Apple introduceerde een beveiligingsmaatregel genaamd "BlastDoor" als onderdeel van iOS 14. Het is een sandbox die is ontworpen om aanvallen zoals Pegasus te voorkomen. BlastDoor omringt iMessage effectief en parseert alle niet-vertrouwde gegevens erin, terwijl wordt voorkomen dat deze communiceert met de rest van het systeem. Telefoonlogboeken bekeken door Burgerlaboratorium laten zien dat de exploits van NSO Group ImageIO betroffen, met name het parseren van JPEG- en GIF-afbeeldingen. "Er zijn in 2021 meer dan een dozijn zeer ernstige bugs tegen ImageIO gemeld", Bill Marczak legde het uit op Twitter.

Dit is een verhaal in ontwikkeling en het is waarschijnlijk dat Apple binnenkort met een update zal komen die de exploits van Pegasus in apps als iMessage herstelt. Dit soort evenementen onderstrepen het belang van maandelijkse beveiligingsupdates, en waarom het altijd belangrijk is om de nieuwste versies te installeren.