Uma exploração do iMessage sem clique foi usada para instalar o spyware Pegasus nos smartphones de jornalistas e outros indivíduos importantes.
A Apple adora divulgar como seu iPhone é o smartphone mais seguro do planeta. Recentemente, eles falaram sobre como seus smartphones são o “dispositivo móvel de consumo mais seguro do mercado”... logo depois que pesquisadores descobriram uma exploração do iMessage sem clique usada para espionar jornalistas internacionalmente.
Anistia Internacionalpublicou um relatório outro dia isso foi revisado por pares por Laboratório Cidadão, e o relatório confirmou que Pegasus - o Grupo NSOspyware criado - foi instalado com sucesso em dispositivos por meio de uma exploração do iMessage de dia zero e clique zero. Os pesquisadores descobriram o software malicioso rodando em um dispositivo iPhone 12 Pro Max rodando em iOS 14.6, um iPhone SE2 rodando iOS 14.4 e um iPhone SE2 rodando iOS 14.0.1. O dispositivo executando iOS 14.0.1 não exigia dia zero explorar.
No ano passado, uma exploração semelhante foi empregada (apelidada de KISMET), usada em dispositivos iOS 13.x, e os pesquisadores da
Laboratório Cidadão observou que o KISMET é substancialmente diferente das técnicas empregadas pela Pegasus hoje no iOS 14. Pegasus já existe há muito tempo e foi documentado pela primeira vez em 2016 quando foi descoberto que ele explorava três vulnerabilidades de dia zero em iPhones, embora naquela época fosse menos sofisticado, pois a vítima ainda precisava clicar no link enviado.O Washington Post detalhado como o novo método de exploração funcionou quando infectou o iPhone 11 de Claude Mangin, a esposa francesa de um ativista político preso no Marrocos. Quando seu telefone foi examinado, não foi possível identificar quais dados dele foram exfiltrados, mas mesmo assim o potencial de abuso era extraordinário. O software Pegasus é conhecido por coletar e-mails, registros de chamadas, postagens em mídias sociais, senhas de usuários, listas de contatos, fotos, vídeos, gravações de som e históricos de navegação. Ele pode ativar câmeras e microfones, ouvir chamadas e mensagens de voz e até coletar registros de localização.
No caso de Mangin, o vetor de ataque foi através de um usuário do Gmail chamado “Linakeller2203”. Mangin não tinha conhecimento desse nome de usuário e seu telefone foi hackeado várias vezes com Pegasus entre outubro de 2020 e junho de 2021. O número de telefone de Mangin estava em uma lista de mais de 50 mil números de telefone de mais de 50 países, revisada por O Washington Post e uma série de outras organizações de notícias. O Grupo NSO afirma que licencia a ferramenta exclusivamente para agências governamentais, a fim de combater o terrorismo e outras crimes graves, embora inúmeros jornalistas, figuras políticas e ativistas de alto nível tenham sido encontrados no lista.
O Washington Post também encontrado que 1.000 números de telefone na Índia apareceram na lista. 22 smartphones obtidos e analisados forenses na Índia descobriram que 10 foram alvo do Pegasus, sete deles com sucesso. Oito dos 12 dispositivos que os pesquisadores não conseguiram determinar se estavam comprometidos eram smartphones Android. Embora o iMessage pareça ser a forma mais popular de infectar uma vítima, também existem outras maneiras.
O laboratório de segurança em Anistia Internacional examinou 67 smartphones cujos números estavam na lista e encontrou evidências forenses de infecções ou tentativas de infecções em 37 deles. 34 deles eram iPhones e 23 apresentavam sinais de infecção bem-sucedida. 11 apresentaram sinais de tentativa de infecção. Apenas três dos 15 smartphones Android examinados mostraram evidências de tentativa, embora os pesquisadores tenham notado que isso poderia ser devido ao fato de os registros do Android não serem tão abrangentes.
Em dispositivos iOS, a persistência não é mantida e a reinicialização é uma forma de remover temporariamente o software Pegasus. Superficialmente, isso parece uma coisa boa, mas também tornou mais difícil detectar o software. Bill Marczak de Laboratório Cidadão acessou o Twitter para explicar mais algumas partes em detalhes, incluindo explicar como o spyware Pegasus não está ativo até que o ataque de clique zero seja disparado após uma reinicialização.
Ivan Krstić, chefe de Engenharia e Arquitetura de Segurança da Apple, fez uma declaração defendendo os esforços da Apple.
“A Apple condena inequivocamente os ataques cibernéticos contra jornalistas, ativistas de direitos humanos e outras pessoas que buscam tornar o mundo um lugar melhor. Por mais de uma década, a Apple liderou o setor em inovação de segurança e, como resultado, os pesquisadores de segurança concordam que o iPhone é o dispositivo móvel de consumo mais seguro e protegido do mercado,“, disse ele em um comunicado. “Ataques como os descritos são altamente sofisticados, custam milhões de dólares para serem desenvolvidos, muitas vezes têm uma vida útil curta e são usados para atingir indivíduos específicos. Embora isso signifique que eles não representam uma ameaça para a esmagadora maioria dos nossos usuários, continuamos trabalhando incansavelmente para defender todos os nossos clientes, e estamos constantemente adicionando novas proteções para seus dispositivos e dados."
A Apple introduziu uma medida de segurança chamada “BlastDoor” como parte do iOS 14. É uma sandbox projetada para evitar que ataques como o Pegasus aconteçam. O BlastDoor envolve efetivamente o iMessage e analisa todos os dados não confiáveis dentro dele, evitando que ele interaja com o resto do sistema. Registros telefônicos visualizados por Laboratório Cidadão mostram que as explorações implantadas pelo Grupo NSO envolviam ImageIO, especificamente a análise de imagens JPEG e GIF. "ImageIO teve mais de uma dúzia de bugs de alta gravidade relatados em 2021", Bill Marczak explicou no Twitter.
Esta é uma história em desenvolvimento, e é provável que a Apple em breve lance uma atualização corrigindo as explorações usadas pelo Pegasus em aplicativos como o iMessage. Esses tipos de eventos destacam a importância de atualizações mensais de segurançae por que é sempre importante ter os mais recentes instalados.