O exploatare iMessage fără clic a fost folosită pentru a instala programul spion Pegasus pe smartphone-urile jurnaliştilor şi ale altor persoane de profil.
Apple îi place să prezinte că iPhone-ul său este cel mai sigur smartphone de pe planetă. Ei au vorbit recent despre modul în care smartphone-urile lor sunt „cel mai sigur dispozitiv mobil pentru consumatori de pe piață”... imediat după ce cercetătorii au descoperit un exploit iMessage fără clicuri folosit pentru a spiona jurnaliştii din întreaga lume.
Amnesty Internationala publicat un raport zilele trecute asta a fost revizuit de colegi de Laboratorul Citizen, iar raportul a confirmat că Pegasus — the Grupul NSO-made spyware — a fost instalat cu succes pe dispozitive printr-o exploatare iMessage zero-day, zero-click. Cercetătorii au descoperit software-ul rău intenționat care rulează pe un dispozitiv iPhone 12 Pro Max care rulează pe iOS 14.6, un iPhone SE2 care rulează iOS 14.4 și un iPhone SE2 care rulează iOS 14.0.1. Dispozitivul care rulează iOS 14.0.1 nu necesita o zi zero exploata.
Anul trecut, a fost folosit un exploit similar (numit KISMET), care a fost folosit pe dispozitivele iOS 13.x, iar cercetătorii de la Laboratorul Citizen a remarcat că KISMET este substanțial diferit de tehnicile folosite de Pegasus astăzi în iOS 14. Pegasus există de mult timp și a fost documentat pentru prima dată în 2016 când s-a descoperit că exploatează trei vulnerabilități zero-day pe iPhone-uri, deși pe atunci, era mai puțin sofisticat, deoarece victima mai trebuia să facă clic pe linkul trimis.
The Washington Post detaliat cum a funcționat noua metodă de exploatare când a infectat iPhone 11 al lui Claude Mangin, soția franceză a unui activist politic închis în Maroc. Când telefonul ei a fost examinat, nu s-a putut identifica ce date au fost extrase din el, dar potențialul de abuz a fost totuși extraordinar. Software-ul Pegasus este cunoscut pentru a colecta e-mailuri, înregistrări de apeluri, postări pe rețelele sociale, parole de utilizator, liste de contacte, imagini, videoclipuri, înregistrări audio și istoric de navigare. Poate activa camere și microfoane, poate asculta apeluri și mesaje vocale și poate chiar colecta jurnalele de locație.
În cazul lui Mangin, vectorul de atac a fost printr-un utilizator Gmail numit „Linakeller2203”. Mangin nu cunoștea acel nume de utilizator, iar telefonul ei fusese spart de mai multe ori cu Pegasus între octombrie 2020 și iunie 2021. Numărul de telefon al lui Mangin a fost pe o listă de peste 50.000 de numere de telefon din peste 50 de țări, revizuită de The Washington Post și o serie de alte organizații de știri. NSO Group spune că licențiază instrumentul exclusiv agențiilor guvernamentale pentru a combate terorismul și altele crime grave, deși nenumărați jurnaliști, personalități politice și activiști de rang înalt s-au găsit pe listă.
The Washington Post de asemenea găsite că pe listă au apărut 1.000 de numere de telefon din India. 22 de smartphone-uri obținute și analizate criminalistic în India au constatat că 10 au fost vizați de Pegasus, șapte dintre ele cu succes. Opt din cele 12 dispozitive despre care cercetătorii nu le-au putut determina că au fost compromise au fost smartphone-uri Android. În timp ce iMessage pare a fi cel mai popular mod de a infecta o victimă, există și alte moduri.
Laboratorul de securitate la Amnesty International au examinat 67 de smartphone-uri ale căror numere erau pe listă și au găsit dovezi criminalistice de infecții sau tentative de infectare la 37 dintre ele. 34 dintre acestea au fost iPhone-uri, iar 23 au prezentat semne de infecție reușită. 11 au prezentat semne de tentativă de infectare. Doar trei dintre cele 15 smartphone-uri Android examinate au arătat dovezi ale unei încercări, deși cercetătorii au remarcat că acest lucru s-ar putea datora faptului că jurnalele Android nu erau la fel de cuprinzătoare.
Pe dispozitivele iOS, persistența nu este menținută, iar repornirea este o modalitate de a elimina temporar software-ul Pegasus. La suprafață, acest lucru pare a fi un lucru bun, dar a îngreunat și detectarea software-ului. Bill Marczak de Laboratorul Citizen a mers pe Twitter pentru a explica mai multe părți în detaliu, inclusiv explicarea modului în care programul spion Pegasus nu este activ până când atacul zero-click este declanșat după o repornire.
Ivan Krstić, șeful Apple Security Engineering and Architecture, a dat o declarație în care a apărat eforturile Apple.
„Apple condamnă fără echivoc atacurile cibernetice împotriva jurnaliştilor, activiştilor pentru drepturile omului şi altora care încearcă să facă lumea un loc mai bun. Timp de peste un deceniu, Apple a condus industria în domeniul inovațiilor în materie de securitate și, în consecință, cercetătorii în domeniul securității sunt de acord că iPhone este cel mai sigur și mai sigur dispozitiv mobil pentru consumatori de pe piață,” a spus el într-o declarație. „Atacuri precum cele descrise sunt extrem de sofisticate, costă milioane de dolari pentru a fi dezvoltate, au adesea o perioadă de valabilitate scurtă și sunt folosite pentru a viza anumite persoane. Deși asta înseamnă că nu reprezintă o amenințare pentru majoritatea covârșitoare a utilizatorilor noștri, continuăm să lucrăm neobosit să ne apărăm toți clienții și adăugăm în mod constant noi protecții pentru dispozitivele lor și date."
Apple a introdus o măsură de securitate numită „BlastDoor” ca parte a iOS 14. Este un sandbox conceput pentru a preveni atacurile precum Pegasus. BlastDoor înconjoară eficient iMessage și analizează toate datele care nu sunt de încredere din interiorul acestuia, împiedicându-l în același timp să interacționeze cu restul sistemului. Jurnalele telefonice vizualizate de Laboratorul Citizen arată că exploit-urile implementate de NSO Group au implicat ImageIO, în special analiza imaginilor JPEG și GIF. „ImageIO a avut peste o duzină de erori de mare gravitate raportate împotriva sa în 2021”, Bill Marczak a explicat pe Twitter.
Aceasta este o poveste în curs de dezvoltare și este probabil ca Apple să introducă în curând o actualizare care să repare exploit-urile folosite de Pegasus în aplicații precum iMessage. Aceste tipuri de evenimente evidențiază importanța actualizări lunare de securitate, și de ce este întotdeauna important să aveți instalate cele mai recente.