En iMessage-exploatering med noll klick användes för att installera Pegasus spionprogram på smartphones från journalister och andra högprofilerade individer.
Apple älskar att presentera hur dess iPhone är den säkraste smartphonen på planeten. De pratade nyligen om hur deras smartphones är den "säkraste konsumentmobila enheten på marknaden"... direkt efter att forskare upptäckt en iMessage-utnyttjande med noll klick som användes för att spionera på journalister internationellt.
Amnesty Internationalpublicerade en rapport häromdagen var det peer reviewed förbi Citizen Lab, och rapporten bekräftade att Pegasus — den NSO-gruppen-made spionprogram – installerades framgångsrikt på enheter via en noll-dagars, noll-klick iMessage-exploatering. Forskarna upptäckte den skadliga programvaran som körs på en iPhone 12 Pro Max-enhet som körs på iOS 14.6, en iPhone SE2 som kör iOS 14.4 och en iPhone SE2 som kör iOS 14.0.1. Enheten som körde iOS 14.0.1 krävde ingen nolldag utnyttja.
Förra året användes en liknande exploit (döpt till KISMET) som användes på iOS 13.x-enheter, och forskarna vid
Washington Post detaljerad hur den nya exploateringsmetoden fungerade när den infekterade iPhone 11 av Claude Mangin, den franska frun till en politisk aktivist som fängslats i Marocko. När hennes telefon undersöktes kunde det inte identifieras vilken data som exfiltrerades från den, men risken för missbruk var ändå extraordinär. Pegasus-mjukvaran är känd för att samla in e-postmeddelanden, samtalsregister, inlägg på sociala medier, användarlösenord, kontaktlistor, bilder, videor, ljudinspelningar och webbhistorik. Den kan aktivera kameror och mikrofoner, den kan lyssna på samtal och röstmeddelanden, och den kan till och med samla in platsloggar.
I Mangins fall var attackvektorn genom en Gmail-användare som gick under namnet "Linakeller2203". Mangin hade ingen kunskap om det användarnamnet och hennes telefon hade hackats flera gånger med Pegasus mellan oktober 2020 och juni 2021. Mangins telefonnummer fanns på en lista med mer än 50 000 telefonnummer från mer än 50 länder, granskad av Washington Post och ett antal andra nyhetsorganisationer. NSO Group säger att de licensierar verktyget exklusivt till statliga myndigheter för att bekämpa terrorism och annat allvarliga brott, även om otaliga journalister, politiska personer och högprofilerade aktivister har visat sig vara på lista.
Washington Post också hittades att 1 000 telefonnummer i Indien hade dykt upp på listan. 22 smartphones erhållna och rättsmedicinskt analyserade i Indien fann att 10 var riktade mot Pegasus, sju av dem framgångsrikt. Åtta av 12 enheter som forskarna inte kunde fastställa var komprometterade var Android-smarttelefoner. Även om iMessage verkar vara det mest populära sättet att infektera ett offer, finns det andra sätt också.
Säkerhetslabbet kl Amnesty International undersökte 67 smartphones vars nummer fanns på listan och hittade rättsmedicinska bevis på infektioner eller försök till infektioner i 37 av dem. 34 av dessa var iPhones och 23 visade tecken på framgångsrik infektion. 11 visade tecken på infektionsförsök. Endast tre av 15 Android-smarttelefoner som undersöktes visade bevis på ett försök, även om forskare noterade att det kan bero på att Androids loggar inte var lika omfattande.
På iOS-enheter bibehålls inte persistens, och omstart är ett sätt att tillfälligt ta bort Pegasus-programvaran. På ytan verkar detta vara en bra sak, men det har också gjort det svårare att upptäcka programvaran. Bill Marczak från Citizen Lab tog till Twitter för att förklara några fler delar i detalj, inklusive att förklara hur Pegasus spionprogram inte är aktivt förrän nollklicksattacken avfyras efter en omstart.
Ivan Krstić, chef för Apple Security Engineering and Architecture, gav ett uttalande där han försvarade Apples ansträngningar.
"Apple fördömer otvetydigt cyberattacker mot journalister, människorättsaktivister och andra som försöker göra världen till en bättre plats. I över ett decennium har Apple lett branschen inom säkerhetsinnovation och som ett resultat är säkerhetsforskare överens om att iPhone är den säkraste och säkraste mobila konsumentenheten på marknaden," sa han i ett uttalande. "Attacker som de som beskrivs är mycket sofistikerade, kostar miljontals dollar att utveckla, har ofta kort hållbarhet och används för att rikta in sig på specifika individer. Även om det betyder att de inte är ett hot mot den överväldigande majoriteten av våra användare, fortsätter vi att arbeta outtröttligt för att försvara alla våra kunder, och vi lägger ständigt till nya skydd för deras enheter och data."
Apple introducerade en säkerhetsåtgärd kallad "BlastDoor" som en del av iOS 14. Det är en sandlåda designad för att förhindra attacker som Pegasus från att inträffa. BlastDoor omger effektivt iMessage och analyserar all opålitlig data inuti den, samtidigt som den förhindrar att den interagerar med resten av systemet. Telefonloggar ses av Citizen Lab visa att utnyttjandet av NSO Group involverade ImageIO, särskilt analysen av JPEG- och GIF-bilder. "ImageIO har haft mer än ett dussin allvarliga buggar rapporterade mot sig 2021", Bill Marczak förklarade på Twitter.
Det här är en utvecklingshistoria, och det är troligt att Apple kommer att driva en uppdatering som fixar de utnyttjande som Pegasus använder i appar som iMessage snart. Den här typen av händelser lyfter fram vikten av månatliga säkerhetsuppdateringar, och varför det alltid är viktigt att ha de senaste installerade.