Zero-click iMessage exploit bol použitý na špehovanie novinárov

Na inštaláciu spywaru Pegasus do smartfónov novinárov a iných významných osôb sa použil exploit s nulovým kliknutím iMessage.

Apple rád propaguje, že jeho iPhone je najbezpečnejším smartfónom na planéte. Nedávno hovorili o tom, že ich smartfóny sú „najbezpečnejším spotrebiteľským mobilným zariadením na trhu“... hneď po tom, čo vedci objavili zneužitie služby iMessage s nulovým kliknutím, ktoré sa používa na špehovanie novinárov na medzinárodnej úrovni.

Amnesty Internationalzverejnil správu druhý deň to bolo peer reviewed podľa Citizen Laba správa potvrdila, že Pegasus — the NSO Group-made spyware – bol úspešne nainštalovaný do zariadení pomocou zero-day, zero-click exploitu iMessage. Výskumníci objavili škodlivý softvér bežiaci na zariadení iPhone 12 Pro Max so systémom iOS 14.6, iPhone SE2 so systémom iOS 14.4 a iPhone SE2 so systémom iOS 14.0.1. Zariadenie so systémom iOS 14.0.1 nevyžadovalo zero-day zneužívať.

Minulý rok sa použil podobný exploit (nazývaný KISMET), ktorý sa používal na zariadeniach iOS 13.x a výskumníci

Citizen Lab poznamenal, že KISMET sa podstatne líši od techník, ktoré dnes Pegasus používa v iOS 14. Pegas je tu už dlho a bol prvýkrát zdokumentovaný v roku 2016 keď sa zistilo, že využíval tri zraniteľnosti nultého dňa na telefónoch iPhone, hoci vtedy to bolo menej sofistikované, pretože obeť musela stále klikať na odoslaný odkaz.

The Washington Post podrobne ako fungovala nová metóda exploitu, keď infikovala iPhone 11 Claude Mangina, francúzskej manželky politického aktivistu uväzneného v Maroku. Keď bol jej telefón preskúmaný, nebolo možné identifikovať, aké údaje z neho boli extrahované, no potenciál zneužitia bol napriek tomu mimoriadny. Softvér Pegasus je známy tým, že zhromažďuje e-maily, záznamy hovorov, príspevky na sociálnych sieťach, heslá používateľov, zoznamy kontaktov, obrázky, videá, zvukové nahrávky a históriu prehliadania. Dokáže aktivovať kamery a mikrofóny, môže počúvať hovory a hlasové správy a dokonca môže zbierať záznamy o polohe.

V prípade Mangina bol vektor útoku prostredníctvom používateľa Gmailu s menom „Linakeller2203“. Mangin o tomto používateľskom mene nevedela a jej telefón bol od októbra 2020 do júna 2021 niekoľkokrát napadnutý Pegasom. Manginovo telefónne číslo bolo na zozname viac ako 50 000 telefónnych čísel z viac ako 50 krajín, ktoré preskúmal The Washington Post a množstvo ďalších spravodajských organizácií. NSO Group tvrdí, že tento nástroj udeľuje výlučne vládnym agentúram na boj proti terorizmu a iným závažné zločiny, aj keď sa zistilo, že sa na nej nachádza nespočetné množstvo novinárov, politických osobností a významných aktivistov zoznam.

The Washington Post tiež nájdené že na zozname sa objavilo 1 000 telefónnych čísel v Indii. 22 smartfónov získaných a forenzne analyzovaných v Indii zistilo, že 10 bolo zameraných na Pegasus, z toho sedem úspešne. Osem z 12 zariadení, o ktorých vedci nedokázali určiť, že boli napadnuté, boli smartfóny so systémom Android. Aj keď sa zdá, že iMessage je najpopulárnejším spôsobom infikovania obete, existujú aj iné spôsoby.

Bezpečnostné laboratórium na Amnesty International preskúmal 67 smartfónov, ktorých čísla boli na zozname, a v 37 z nich našiel forenzné dôkazy o infekciách alebo pokusoch o infekciu. 34 z nich boli telefóny iPhone a 23 vykazovalo známky úspešnej infekcie. 11 vykazovalo známky pokusu o infekciu. Iba tri z 15 skúmaných smartfónov s Androidom vykazovali dôkaz o pokuse, hoci vedci poznamenali, že to môže byť spôsobené tým, že protokoly Androidu neboli také komplexné.

Na zariadeniach so systémom iOS sa pretrvávanie neudržiava a reštartovanie je spôsob, ako dočasne odstrániť softvér Pegasus. Na prvý pohľad to vyzerá ako dobrá vec, no zároveň to sťažuje detekciu softvéru. Bill Marczak z Citizen Lab na Twitteri, aby podrobne vysvetlil niektoré ďalšie časti, vrátane vysvetlenia toho, ako spyware Pegasus nie je aktívny, kým sa po reštarte nespustí útok zero-click.

Ivan Krstić, vedúci oddelenia Apple Security Engineering and Architecture, poskytol vyhlásenie, v ktorom obhajoval snahy spoločnosti Apple.

„Apple jednoznačne odsudzuje kybernetické útoky proti novinárom, aktivistom za ľudské práva a iným, ktorí sa snažia urobiť svet lepším miestom. Už viac ako desať rokov vedie Apple v inováciách v oblasti bezpečnosti a v dôsledku toho sa výskumníci v oblasti bezpečnosti zhodli na tom, že iPhone je najbezpečnejšie a najbezpečnejšie spotrebiteľské mobilné zariadenie na trhu.“ uviedol vo vyhlásení. „Útoky, ako sú tie opísané, sú vysoko sofistikované, ich vývoj stojí milióny dolárov, často majú krátku trvanlivosť a používajú sa na zacielenie na konkrétnych jednotlivcov. Aj keď to znamená, že nepredstavujú hrozbu pre drvivú väčšinu našich používateľov, pokračujeme v práci neúnavne brániť všetkých našich zákazníkov a neustále pridávame nové ochrany pre ich zariadenia a údaje.”

Apple predstavil bezpečnostné opatrenie s názvom „BlastDoor“ ako súčasť iOS 14. Je to sandbox navrhnutý tak, aby zabránil útokom ako Pegasus. BlastDoor efektívne obklopuje iMessage a analyzuje v ňom všetky nedôveryhodné údaje, pričom mu bráni v interakcii so zvyškom systému. Denníky telefónu zobrazené používateľom Citizen Lab ukazujú, že exploity nasadené NSO Group zahŕňali ImageIO, konkrétne analýzu JPEG a GIF obrázkov. "ImageIO mal v roku 2021 nahlásených viac ako tucet veľmi závažných chýb", Bill Marczak vysvetlil na Twitteri.

Toto je vývojový príbeh a je pravdepodobné, že Apple čoskoro vytlačí aktualizáciu, ktorá opraví exploity používané Pegasom v aplikáciách ako iMessage. Tieto druhy udalostí zdôrazňujú dôležitosť mesačné bezpečnostné aktualizáciea prečo je vždy dôležité mať nainštalované najnovšie.