Do zainstalowania oprogramowania szpiegującego Pegasus na smartfonach dziennikarzy i innych znanych osób wykorzystano exploit iMessage wymagający zerowego kliknięcia.
Apple uwielbia przechwalać się, że jego iPhone jest najbezpieczniejszym smartfonem na świecie. Niedawno rozmawiali o tym, że ich smartfony są „najbezpieczniejszym konsumenckim urządzeniem mobilnym na rynku”... zaraz po tym, jak badacze odkryli exploit iMessage wymagający zerowego kliknięcia, używany do szpiegowania dziennikarzy na całym świecie.
Amnesty Internationalopublikował raport to było pewnego dnia recenzowane przez Laboratorium Obywatelskie, a raport potwierdził, że Pegasus — Grupa NSO-made spyware — zostało pomyślnie zainstalowane na urządzeniach poprzez exploit iMessage typu zero-day, wymagający zerowego kliknięcia. Badacze odkryli złośliwe oprogramowanie działające na urządzeniu iPhone 12 Pro Max z systemem iOS 14.6 SE2 z systemem iOS 14.4 i iPhone SE2 z systemem iOS 14.0.1. Urządzenie z systemem iOS 14.0.1 nie wymagało dnia zerowego wykorzystać.
W ubiegłym roku podobny exploit (nazwany KISMET) został zastosowany na urządzeniach z systemem iOS 13.x, a badacze z Laboratorium Obywatelskie zauważył, że KISMET zasadniczo różni się od technik stosowanych obecnie przez Pegasusa w iOS 14. Pegasus istnieje już od dłuższego czasu i był po raz pierwszy udokumentowane w 2016 roku kiedy odkryto, że wykorzystuje trzy luki dnia zerowego w iPhone'ach, choć wtedy było to mniej wyrafinowane, ponieważ ofiara nadal musiała kliknąć wysłany link.
„Washington Post”. szczegółowe jak zadziałała nowa metoda exploita, gdy zainfekowała iPhone'a 11 Claude'a Mangina, francuskiej żony działacza politycznego więzionego w Maroku. Po sprawdzeniu jej telefonu nie udało się ustalić, jakie dane zostały z niego wydobyte, ale mimo to ryzyko nadużycia było niezwykłe. Oprogramowanie Pegasus znane jest z gromadzenia e-maili, zapisów połączeń, wpisów w mediach społecznościowych, haseł użytkowników, list kontaktów, zdjęć, filmów, nagrań dźwiękowych i historii przeglądania. Może aktywować kamery i mikrofony, może odsłuchiwać połączenia i wiadomości głosowe, a nawet zbierać dzienniki lokalizacji.
W przypadku Mangina wektorem ataku był użytkownik Gmaila o nazwisku „Linakeller2203”. Mangin nie znała tej nazwy użytkownika, a między październikiem 2020 r. a czerwcem 2021 r. jej telefon został wielokrotnie zhakowany za pomocą Pegasusa. Numer telefonu Mangina znajdował się na liście ponad 50 000 numerów telefonów z ponad 50 krajów, sprawdzonej przez „Washington Post”. i wiele innych organizacji informacyjnych. NSO Group twierdzi, że udziela licencji na to narzędzie wyłącznie agencjom rządowym w celu zwalczania terroryzmu i nie tylko poważnych przestępstw, chociaż stwierdzono, że w tej sprawie uczestniczy niezliczona liczba dziennikarzy, osobistości politycznych i wpływowych działaczy lista.
„Washington Post”. Również znaleziony że na liście znalazło się 1000 numerów telefonów w Indiach. 22 smartfony uzyskane i poddane analizie kryminalistycznej w Indiach wykazały, że Pegasusem padło 10 z nich, a siedem z nich zakończyło się sukcesem. Osiem z 12 urządzeń, których zabezpieczenia nie udało się ustalić badaczom, to smartfony z systemem Android. Choć iMessage wydaje się być najpopularniejszym sposobem infekowania ofiary, istnieją też inne sposoby.
Laboratorium Bezpieczeństwa przy ul Amnesty International zbadali 67 smartfonów, których numery znajdowały się na liście i w 37 z nich znaleźli kryminalistyczne dowody infekcji lub prób infekcji. 34 z nich to iPhone'y, a 23 wykazywało oznaki pomyślnej infekcji. 11 wykazywało oznaki próby zakażenia. Tylko trzy z 15 zbadanych smartfonów z Androidem wykazały ślady próby, chociaż badacze zauważyli, że mogło to wynikać z faktu, że dzienniki Androida nie były tak obszerne.
Na urządzeniach iOS trwałość nie jest zachowywana, a ponowne uruchomienie jest sposobem na tymczasowe usunięcie oprogramowania Pegasus. Na pierwszy rzut oka wydaje się to dobre, ale utrudnia również wykrycie oprogramowania. Bill Marczak z Laboratorium Obywatelskie zamieścił na Twitterze szczegółowe wyjaśnienia dotyczące niektórych elementów, w tym wyjaśnienia, w jaki sposób oprogramowanie szpiegowskie Pegasus nie jest aktywne do czasu uruchomienia ataku bez kliknięcia po ponownym uruchomieniu komputera.
Ivan Krstić, szef działu inżynierii i architektury bezpieczeństwa Apple, wydał oświadczenie, w którym bronił wysiłków Apple.
„Apple jednoznacznie potępia cyberataki na dziennikarzy, obrońców praw człowieka i inne osoby pragnące uczynić świat lepszym miejscem. Od ponad dziesięciu lat firma Apple jest liderem w branży pod względem innowacji w zakresie zabezpieczeń, w wyniku czego badacze bezpieczeństwa zgadzają się, że iPhone jest najbezpieczniejszym konsumenckim urządzeniem mobilnym na rynku,– stwierdził w oświadczeniu. „Ataki takie jak te opisane są wysoce wyrafinowane, ich opracowanie kosztuje miliony dolarów, często mają krótki okres ważności i są wykorzystywane przeciwko konkretnym osobom. Chociaż oznacza to, że nie stanowią one zagrożenia dla przeważającej większości naszych użytkowników, nadal pracujemy niestrudzenie bronimy wszystkich naszych klientów i stale dodajemy nowe zabezpieczenia dla ich urządzeń i dane."
Firma Apple wprowadziła środek bezpieczeństwa o nazwie „BlastDoor” jako część systemu iOS 14. To piaskownica zaprojektowana, aby zapobiegać atakom takim jak Pegasus. BlastDoor skutecznie otacza iMessage i analizuje wszystkie znajdujące się w nim niezaufane dane, jednocześnie uniemożliwiając mu interakcję z resztą systemu. Rejestry rozmów telefonicznych przeglądane przez Laboratorium Obywatelskie pokazują, że exploity wdrożone przez NSO Group dotyczyły ImageIO, w szczególności analizowania obrazów JPEG i GIF. „W 2021 r. w ImageIO zgłoszono kilkanaście błędów o dużej ważności”, Wyjaśnił to Bill Marczak na Twitterze.
To rozwijająca się historia i prawdopodobne jest, że Apple wkrótce opublikuje aktualizację naprawiającą exploity wykorzystywane przez Pegasusa w aplikacjach takich jak iMessage. Tego typu wydarzenia podkreślają wagę comiesięczne aktualizacje zabezpieczeńi dlaczego zawsze ważne jest, aby mieć zainstalowane najnowsze.