Izkoriščanje iMessage brez klika je bilo uporabljeno za namestitev vohunske programske opreme Pegasus na pametne telefone novinarjev in drugih pomembnih posameznikov.
Apple rad hvali, kako je njegov iPhone najbolj varen pametni telefon na planetu. Nedavno so govorili o tem, da so njihovi pametni telefoni "najbolj varna potrošniška mobilna naprava na trgu"... takoj po tem, ko so raziskovalci odkrili iMessage z ničelnim klikom, ki se uporablja za vohunjenje novinarjev po vsem svetu.
Amnesty Internationalobjavil poročilo drugi dan je bilo to strokovno pregledan avtor Citizen Lab, in poročilo je potrdilo, da je Pegasus — the Skupina NSO-made spyware — je bila uspešno nameščena na napravah prek izkoriščanja iMessage z nič dnevom brez klika. Raziskovalci so odkrili zlonamerno programsko opremo, ki se izvaja na napravi iPhone 12 Pro Max z operacijskim sistemom iOS 14.6, iPhone SE2 z operacijskim sistemom iOS 14.4 in iPhone SE2 z operacijskim sistemom iOS 14.0.1. Naprava z operacijskim sistemom iOS 14.0.1 ni zahtevala ničelnega dne izkoriščanje.
Lansko leto je bilo uporabljeno podobno izkoriščevanje (poimenovano KISMET), ki je bilo uporabljeno na napravah iOS 13.x, in raziskovalci na Citizen Lab ugotovil, da se KISMET bistveno razlikuje od tehnik, ki jih danes uporablja Pegasus v iOS 14. Pegasus obstaja že dolgo in je bil prvič dokumentiran leta 2016 ko je bilo ugotovljeno, da izkorišča tri ranljivosti ničelnega dne na iPhonih, čeprav je bilo takrat manj sofisticirano, saj je morala žrtev še vedno klikniti poslano povezavo.
The Washington Post podrobno kako je delovala nova metoda izkoriščanja, ko je okužila iPhone 11 Clauda Mangina, francoske žene političnega aktivista, zaprtega v Maroku. Ko so pregledali njen telefon, ni bilo mogoče ugotoviti, kateri podatki so bili iz njega odtujeni, a je bila možnost zlorabe kljub temu izjemna. Znano je, da programska oprema Pegasus zbira e-pošto, zapise klicev, objave v družbenih medijih, uporabniška gesla, sezname stikov, slike, videoposnetke, zvočne posnetke in zgodovino brskanja. Lahko aktivira kamere in mikrofone, lahko posluša klice in glasovno pošto ter lahko celo zbira dnevnike lokacije.
V Manginovem primeru je bil vektor napada prek uporabnika Gmaila z imenom "Linakeller2203". Mangin ni vedela za to uporabniško ime in njen telefon je med oktobrom 2020 in junijem 2021 večkrat vdrl s Pegasusom. Manginova telefonska številka je bila na seznamu več kot 50.000 telefonskih številk iz več kot 50 držav, ki ga je pregledal The Washington Post in številne druge novinarske organizacije. Skupina NSO pravi, da licencira orodje izključno vladnim agencijam za boj proti terorizmu in drugim resnih kaznivih dejanj, čeprav je bilo ugotovljeno, da je na seznam.
The Washington Post tudi našel da se je na seznamu pojavilo 1000 telefonskih številk v Indiji. 22 pametnih telefonov, pridobljenih in forenzično analiziranih v Indiji, je pokazalo, da jih je bilo 10 ciljno usmerjenih s Pegazom, od tega sedem uspešno. Osem od 12 naprav, za katere raziskovalci niso mogli ugotoviti, da so ogrožene, je bilo pametnih telefonov Android. Čeprav se zdi, da je iMessage najbolj priljubljen način za okužbo žrtve, obstajajo tudi drugi načini.
Varnostni laboratorij pri Amnesty International pregledali 67 pametnih telefonov, katerih številke so bile na seznamu, in pri 37 našli forenzične dokaze o okužbah ali poskusih okužb. 34 od teh je bilo iPhonov, 23 pa je kazalo znake uspešne okužbe. 11 jih je kazalo znake poskusa okužbe. Samo trije od 15 pregledanih pametnih telefonov Android so pokazali dokaze poskusa, čeprav so raziskovalci ugotovili, da je to lahko posledica dejstva, da Androidovi dnevniki niso bili tako izčrpni.
V napravah iOS se obstojnost ne ohrani in ponovni zagon je način za začasno odstranitev programske opreme Pegasus. Na prvi pogled se to zdi dobra stvar, vendar je tudi težje zaznati programsko opremo. Bill Marczak iz Citizen Lab je na Twitterju podrobneje razložil nekatere dele, vključno z razlago, kako vohunska programska oprema Pegasus ni aktivna, dokler se po ponovnem zagonu ne sproži napad z ničelnim klikom.
Ivan Krstić, vodja Applovega varnostnega inženiringa in arhitekture, je podal izjavo v bran Applovim prizadevanjem.
»Apple nedvoumno obsoja kibernetske napade na novinarje, aktiviste za človekove pravice in druge, ki želijo narediti svet boljši. Apple že več kot desetletje vodi industrijo na področju varnostnih inovacij, zato se varnostni raziskovalci strinjajo, da je iPhone najvarnejša in najvarnejša potrošniška mobilna naprava na trgu,«je dejal v izjavi. »Napadi, kot so opisani, so zelo sofisticirani, razvoj stane na milijone dolarjev, pogosto imajo kratek rok trajanja in se uporabljajo za ciljanje na določene posameznike. Čeprav to pomeni, da ne predstavljajo grožnje za veliko večino naših uporabnikov, nadaljujemo z delom neutrudno branimo vse naše stranke in nenehno dodajamo nove zaščite za njihove naprave in podatki."
Apple je kot del iOS 14 uvedel varnostni ukrep, imenovan "BlastDoor". To je peskovnik, zasnovan za preprečevanje napadov, kot je Pegasus. BlastDoor učinkovito obdaja iMessage in razčleni vse nezaupljive podatke v njem, hkrati pa mu preprečuje interakcijo s preostalim sistemom. Ogled telefonskih dnevnikov Citizen Lab kažejo, da so izkoriščanja, ki jih je uporabila skupina NSO, vključevala ImageIO, zlasti razčlenjevanje slik JPEG in GIF. "ImageIO je leta 2021 prijavil več kot ducat zelo resnih napak," Bill Marczak pojasnil na Twitterju.
To je zgodba v razvoju in verjetno bo Apple kmalu sprožil posodobitev, ki bo odpravila podvige, ki jih Pegasus uporablja v aplikacijah, kot je iMessage. Tovrstni dogodki poudarjajo pomen mesečne varnostne posodobitvein zakaj je vedno pomembno, da imate nameščene najnovejše.