Эксплойт iMessage с нулевым кликом использовался для слежки за журналистами

Apple любит рекламировать, что ее iPhone — самый безопасный смартфон на планете. Недавно они рассказали о том, что их смартфоны являются «самыми безопасными потребительскими мобильными устройствами на рынке»… сразу после того, как исследователи обнаружили уязвимость iMessage с нулевым щелчком мыши, используемую для слежки за журналистами по всему миру.

Международная амнистияопубликовал отчет на днях это было рецензируемый к Гражданин Лаборатория, и в отчете подтверждалось, что Пегас — Группа НСОШпионское ПО собственного производства — было успешно установлено на устройствах с помощью эксплойта iMessage нулевого дня и без щелчков мышью. Исследователи обнаружили вредоносное программное обеспечение, работающее на устройстве iPhone 12 Pro Max под управлением iOS 14.6. SE2 под управлением iOS 14.4 и iPhone SE2 под управлением iOS 14.0.1. Устройство под управлением iOS 14.0.1 не требовало нулевого дня. эксплуатировать.

В прошлом году был использован аналогичный эксплойт (получивший название KISMET), который использовался на устройствах iOS 13.x, и исследователи из Гражданин Лаборатория отметил, что KISMET существенно отличается от методов, используемых Pegasus сегодня в iOS 14. Pegasus существует уже давно и был впервые зарегистрировано в 2016 году когда было обнаружено, что он использует три уязвимости нулевого дня на iPhone, хотя тогда это было менее сложно, поскольку жертве все равно нужно было щелкнуть отправленную ссылку.

Вашингтон Пост подробный как новый метод эксплойта сработал, когда он заразил iPhone 11 Клода Манжена, французской жены политического активиста, заключенного в тюрьму в Марокко. Когда ее телефон был проверен, не удалось определить, какие данные из него были украдены, но, тем не менее, вероятность злоупотреблений была чрезвычайной. Известно, что программное обеспечение Pegasus собирает электронные письма, записи звонков, сообщения в социальных сетях, пароли пользователей, списки контактов, изображения, видео, звукозаписи и историю просмотров. Он может активировать камеры и микрофоны, прослушивать звонки и голосовую почту и даже собирать журналы местоположений.

В случае Манжена вектор атаки проходил через пользователя Gmail под ником «Linakeller2203». Манжен не знала этого имени пользователя, а в период с октября 2020 года по июнь 2021 года ее телефон несколько раз взломали с помощью Pegasus. Телефонный номер Манжена был в списке из более чем 50 000 телефонных номеров из более чем 50 стран, проверенном Вашингтон Пост и ряд других новостных организаций. NSO Group заявляет, что лицензирует этот инструмент исключительно правительственным учреждениям для борьбы с терроризмом и другими тяжкие преступления, хотя было обнаружено, что бесчисленное количество журналистов, политических деятелей и известных активистов находятся на список.

Вашингтон Пост также найденный что в списке появилась 1000 телефонных номеров в Индии. 22 смартфона, полученные и криминалистически проанализированные в Индии, показали, что 10 из них были атакованы Pegasus, причем семь из них успешно. Восемь из 12 устройств, которые исследователи не смогли определить, были взломаны, были смартфонами Android. Хотя iMessage кажется самым популярным способом заражения жертвы, существуют и другие способы.

Лаборатория безопасности в Международная амнистия исследовали 67 смартфонов, номера которых были в списке, и обнаружили судебно-медицинские доказательства заражения или попытки заражения у 37 из них. 34 из них были iPhone, а 23 имели признаки успешного заражения. У 11 были обнаружены признаки попытки заражения. Только три из 15 исследованных Android-смартфонов имели доказательства попытки взлома, хотя исследователи отметили, что это могло быть связано с тем, что журналы Android не были такими полными.

На устройствах iOS сохранение не поддерживается, а перезагрузка – это способ временного удаления программного обеспечения Pegasus. На первый взгляд это кажется хорошей вещью, но из-за этого становится сложнее обнаружить программное обеспечение. Билл Марчак из Гражданин Лаборатория обратился в Твиттер, чтобы подробно объяснить некоторые детали, в том числе объяснить, почему шпионское ПО Pegasus неактивно до тех пор, пока после перезагрузки не будет запущена атака с нулевым щелчком мыши.

Иван Крстич, руководитель отдела разработки безопасности и архитектуры Apple, выступил с заявлением в защиту усилий Apple.

«Apple однозначно осуждает кибератаки на журналистов, правозащитников и других людей, стремящихся сделать мир лучше. Уже более десяти лет Apple лидирует в отрасли в области инноваций в области безопасности, и в результате исследователи в области безопасности сходятся во мнении, что iPhone — самое безопасное потребительское мобильное устройство на рынке.", - сказал он в своем заявлении. «Атаки, подобные описанным, очень сложны, их разработка обходится в миллионы долларов, часто имеет короткий срок действия и используется против конкретных лиц. Хотя это означает, что они не представляют угрозы для подавляющего большинства наших пользователей, мы продолжаем работать. неустанно защищать всех наших клиентов, и мы постоянно добавляем новые средства защиты для их устройств и данные."

Apple представила меру безопасности под названием «BlastDoor» как часть iOS 14. Это «песочница», предназначенная для предотвращения атак, подобных Pegasus. BlastDoor эффективно окружает iMessage и анализирует все ненадежные данные внутри него, не позволяя ему взаимодействовать с остальной частью системы. Журналы телефонных звонков просмотрели Гражданин Лаборатория показывают, что эксплойты, развернутые NSO Group, включали ImageIO, в частности анализ изображений JPEG и GIF. «В 2021 году в ImageIO было зарегистрировано более дюжины серьезных ошибок», Билл Марчак объяснил в Твиттере.

Это развивающаяся история, и вполне вероятно, что Apple скоро выпустит обновление, исправляющее эксплойты, используемые Pegasus в таких приложениях, как iMessage. Подобные мероприятия подчеркивают важность ежемесячные обновления безопасностии почему всегда важно устанавливать самые последние версии.