En null-klikk iMessage-utnyttelse ble brukt til å installere Pegasus-spyware på smarttelefonene til journalister og andre høyprofilerte individer.
Apple elsker å fortelle hvordan iPhone er den sikreste smarttelefonen på planeten. De snakket nylig om hvordan smarttelefonene deres er den "sikreste forbrukermobilenheten på markedet"... rett etter at forskere oppdaget en null-klikk iMessage-utnyttelse som ble brukt til å spionere på journalister internasjonalt.
Amnesty Internationalpubliserte en rapport den andre dagen var det fagfellevurdert av Citizen Lab, og rapporten bekreftet at Pegasus — den NSO Group-laget spyware – ble installert på enheter via en null-dagers, null-klikk iMessage-utnyttelse. Forskerne oppdaget den skadelige programvaren som kjører på en iPhone 12 Pro Max-enhet som kjører på iOS 14.6, en iPhone SE2 som kjører iOS 14.4, og en iPhone SE2 som kjører iOS 14.0.1. Enheten som kjører iOS 14.0.1 krevde ikke en nulldag utnytte.
I fjor ble en lignende utnyttelse brukt (kalt KISMET) som ble brukt på iOS 13.x-enheter, og forskerne ved
Citizen Lab bemerket at KISMET er vesentlig forskjellig fra teknikker som brukes av Pegasus i dag i iOS 14. Pegasus har eksistert lenge og var det første gang dokumentert i 2016 da det ble funnet å utnytte tre nulldagssårbarheter på iPhones, men den gang var det mindre sofistikert ettersom offeret fortsatt måtte klikke på lenken som ble sendt.Washington Post detaljert hvordan den nye utnyttelsesmetoden fungerte da den infiserte iPhone 11 til Claude Mangin, den franske kona til en politisk aktivist fengslet i Marokko. Da telefonen hennes ble undersøkt, kunne det ikke identifiseres hvilke data som ble eksfiltrert fra den, men potensialet for misbruk var allikevel ekstraordinært. Pegasus-programvaren er kjent for å samle inn e-poster, samtaleposter, innlegg på sosiale medier, brukerpassord, kontaktlister, bilder, videoer, lydopptak og nettleserhistorikk. Den kan aktivere kameraer og mikrofoner, den kan lytte til anrop og talemeldinger, og den kan til og med samle plasseringslogger.
I Mangins tilfelle var angrepsvektoren gjennom en Gmail-bruker som gikk under navnet "Linakeller2203". Mangin hadde ingen kunnskap om det brukernavnet, og telefonen hennes hadde blitt hacket flere ganger med Pegasus mellom oktober 2020 og juni 2021. Mangins telefonnummer var på en liste over mer enn 50 000 telefonnumre fra mer enn 50 land, gjennomgått av Washington Post og en rekke andre nyhetsorganisasjoner. NSO Group sier at de lisensierer verktøyet utelukkende til offentlige etater for å bekjempe terrorisme og annet alvorlige forbrytelser, selv om det er funnet utallige journalister, politiske skikkelser og høyprofilerte aktivister på liste.
Washington Post også funnet at 1000 telefonnumre i India hadde dukket opp på listen. 22 smarttelefoner innhentet og rettsmedisinsk analysert i India fant at 10 ble målrettet mot Pegasus, syv av dem med suksess. Åtte av 12 enheter som forskerne ikke kunne fastslå var kompromittert, var Android-smarttelefoner. Mens iMessage ser ut til å være den mest populære måten å infisere et offer på, er det andre måter også.
Sikkerhetslaboratoriet kl Amnesty International undersøkte 67 smarttelefoner med nummer på listen og fant rettsmedisinske bevis på infeksjoner eller forsøk på infeksjoner i 37 av dem. 34 av disse var iPhones, og 23 viste tegn på vellykket infeksjon. 11 viste tegn på infeksjonsforsøk. Bare tre av 15 Android-smarttelefoner som ble undersøkt viste bevis på et forsøk, selv om forskere bemerket at det kan skyldes det faktum at Androids logger ikke var så omfattende.
På iOS-enheter opprettholdes ikke utholdenhet, og omstart er en måte å midlertidig fjerne Pegasus-programvaren på. På overflaten virker dette som en god ting, men det har også gjort det vanskeligere å oppdage programvaren. Bill Marczak av Citizen Lab tok til Twitter for å forklare noen flere deler i detalj, inkludert å forklare hvordan Pegasus-spywaren ikke er aktiv før null-klikk-angrepet avfyres etter en omstart.
Ivan Krstić, leder for Apple Security Engineering and Architecture, ga en uttalelse der han forsvarte Apples innsats.
"Apple fordømmer utvetydig nettangrep mot journalister, menneskerettighetsaktivister og andre som ønsker å gjøre verden til et bedre sted. I over et tiår har Apple ledet bransjen innen sikkerhetsinnovasjon, og som et resultat er sikkerhetsforskere enige om at iPhone er den sikreste og sikreste mobilenheten for forbrukere på markedet,sa han i en uttalelse. «Angrep som de som er beskrevet er svært sofistikerte, koster millioner av dollar å utvikle, har ofte kort holdbarhet og brukes til å målrette mot spesifikke individer. Selv om det betyr at de ikke er en trussel mot det overveldende flertallet av brukerne våre, fortsetter vi å jobbe utrettelig for å forsvare alle våre kunder, og vi legger stadig til nye beskyttelser for deres enheter og data."
Apple introduserte et sikkerhetstiltak kalt "BlastDoor" som en del av iOS 14. Det er en sandkasse designet for å forhindre angrep som Pegasus fra å skje. BlastDoor omgir effektivt iMessage og analyserer alle upålitelige data inne i den, samtidig som den hindrer den i å samhandle med resten av systemet. Telefonlogger sett av Citizen Lab viser at utnyttelsene som ble distribuert av NSO Group, involverte ImageIO, spesielt analysering av JPEG- og GIF-bilder. "ImageIO har hatt mer enn et dusin alvorlige feil rapportert mot seg i 2021", Bill Marczak forklarte på Twitter.
Dette er en utviklingshistorie, og det er sannsynlig at Apple vil presse en oppdatering som fikser utnyttelsene brukt av Pegasus i apper som iMessage snart. Slike arrangementer fremhever viktigheten av månedlige sikkerhetsoppdateringer, og hvorfor det alltid er viktig å ha de nyeste installert.