Для встановлення шпигунського ПЗ Pegasus на смартфони журналістів та інших високопоставлених осіб використовувався експлойт iMessage без кліків.
Apple любить рекламувати, що її iPhone є найбезпечнішим смартфоном на планеті. Нещодавно вони говорили про те, що їхні смартфони є «найбезпечнішим споживчим мобільним пристроєм на ринку»... відразу після того, як дослідники виявили експлойт iMessage без кліків, який використовується для шпигування за журналістами в усьому світі.
Міжнародна амністіяопублікував звіт днями це було рецензовано за Громадянська лабораторія, і звіт підтвердив, що Пегас — це Група НСОстворене шпигунське програмне забезпечення — було успішно встановлено на пристрої за допомогою експлойту iMessage з нульовим днем і нульовим кліком. Дослідники виявили шкідливе програмне забезпечення, яке працює на пристрої iPhone 12 Pro Max з iOS 14.6, iPhone SE2 з iOS 14.4 і iPhone SE2 з iOS 14.0.1. Для пристрою з iOS 14.0.1 не потрібен нульовий день експлуатувати.
Минулого року було використано подібний експлойт (під назвою KISMET), який використовувався на пристроях iOS 13.x, і дослідники з
The Washington Post докладно як спрацював новий метод експлойту, коли він заразив iPhone 11 Клод Манжен, французької дружини політичного активіста, ув’язненого в Марокко. Під час перевірки її телефону не вдалося визначити, які дані з нього було викрадено, але тим не менш потенціал для зловживання був надзвичайною. Відомо, що програмне забезпечення Pegasus збирає електронні листи, записи дзвінків, публікації в соціальних мережах, паролі користувачів, списки контактів, зображення, відео, звукозаписи та історію веб-перегляду. Він може активувати камери та мікрофони, він може прослуховувати дзвінки та голосову пошту, і він може навіть збирати журнали розташування.
У випадку Мангіна вектор атаки був через користувача Gmail під іменем «Linakeller2203». Мангін не знала про це ім’я користувача, а її телефон неодноразово зламали за допомогою Pegasus у період з жовтня 2020 року по червень 2021 року. Телефонний номер Мангіна був у списку з понад 50 000 телефонних номерів із понад 50 країн, який перевірив The Washington Post та ряд інших інформаційних організацій. NSO Group заявляє, що ліцензує інструмент виключно державним установам з метою боротьби з тероризмом та іншим серйозних злочинів, хоча незліченна кількість журналістів, політичних діячів і активістів високого рівня були виявлені список.
The Washington Post також знайдено що в списку з’явилося 1000 телефонних номерів в Індії. 22 смартфони, отримані та проаналізовані в Індії, виявили, що 10 були націлені на Pegasus, сім з них успішно. Вісім із 12 пристроїв, які дослідники не змогли визначити, були скомпрометовані, були смартфонами Android. Хоча iMessage здається найпопулярнішим способом зараження жертви, є й інші способи.
Лабораторія безпеки при Міжнародна амністія перевірив 67 смартфонів, номери яких були в списку, і виявив докази зараження або спроби зараження в 37 з них. 34 з них були iPhone, а 23 мали ознаки успішного зараження. 11 мали ознаки спроби інфікування. Лише три з 15 досліджених смартфонів Android показали докази спроби, хоча дослідники відзначили, що це могло бути пов’язано з тим, що журнали Android не були такими повними.
На пристроях iOS постійність не підтримується, і перезавантаження є способом тимчасового видалення програмного забезпечення Pegasus. Зовні це виглядає добре, але це також ускладнює виявлення програмного забезпечення. Білл Марчак з Громадянська лабораторія звернувся до Twitter, щоб детально пояснити ще деякі частини, зокрема пояснюючи, як шпигунське програмне забезпечення Pegasus не активне, доки після перезавантаження не буде запущено атаку з нульовим клацанням.
Іван Крстіч, керівник підрозділу Apple Security Engineering and Architecture, зробив заяву на захист зусиль Apple.
«Apple однозначно засуджує кібератаки проти журналістів, правозахисників та інших, хто прагне зробити світ кращим. Понад десять років Apple є лідером індустрії інновацій у сфері безпеки, і, як наслідок, дослідники безпеки погоджуються, що iPhone є найбезпечнішим і найзахищенішим споживчим мобільним пристроєм на ринку.", - сказав він у заяві. «Атаки, подібні до описаних, є дуже складними, коштують мільйони доларів на розробку, часто мають короткий термін придатності та використовуються для націлювання на конкретних осіб. Хоча це означає, що вони не є загрозою для переважної більшості наших користувачів, ми продовжуємо працювати невпинно захищати всіх наших клієнтів, і ми постійно додаємо нові засоби захисту для їхніх пристроїв і дані».
Apple представила захід безпеки під назвою «BlastDoor» як частину iOS 14. Це пісочниця, призначена для запобігання таким атакам, як Pegasus. BlastDoor ефективно оточує iMessage і аналізує всі ненадійні дані в ньому, одночасно запобігаючи його взаємодії з рештою системи. Переглянуто журнали телефонів Громадянська лабораторія показують, що експлойти, розгорнуті NSO Group, включали ImageIO, зокрема розбір зображень JPEG і GIF. «У 2021 році в ImageIO було повідомлено про понад дюжину серйозних помилок», Білл Марчак пояснив у Twitter.
Це історія, яка розвивається, і цілком імовірно, що Apple незабаром випустить оновлення, яке виправить експлойти, які використовує Pegasus у таких програмах, як iMessage. Такі події підкреслюють важливість щомісячні оновлення безпекиі чому завжди важливо мати найновіші версії.