Tři nové exploity pro iOS, které Pegasus používá k infikování iPhonů

NSO Group, výrobce špionážního nástroje Pegasus

AppleInsider může získat přidruženou provizi za nákupy uskutečněné prostřednictvím odkazů na našich stránkách.

NSO Group je nechvalně známým tvůrcem Pegasus, sledovacího nástroje prodávaného vládám a donucovacím orgánům po celém světě ke špehování zařízení lidí. Spyware, který se proslavil k hackování iPhonů aktivistů za lidská práva a novinářů, je hlavní hrozbou pro bezpečnost a soukromí lidí, o které se zajímají klienti NSO Group.

Zatímco dříve bylo zjištěno, že Pegasus používá exploity s nulovým kliknutím k překonání bezpečnosti iOS 14, Citizen Lab objevila případy, kdy byly tři další exploity s nulovým kliknutím. Tentokrát byly tyto tři použity k infiltraci iPhonů se systémem iOS 15 a iOS 16.

Skupina objevila nové exploity v říjnu 2022 v rámci vyšetřování s mexickou digitální lidskoprávní organizací Ren ed Defensa de los Derechos Digitales. Při zkoumání iPhonů používaných obránci lidských práv v Mexiku byly tyto tři exploity objeveny jako zcela nové způsoby, jak mohl Pegasus infikovat zařízení.

Bylo zjištěno, že v některých případech se útoky shodovaly s událostmi z roku 2022 v „případu Ayotzinapa“, který odkazuje na zmizení studentů protestujících proti praktikám najímání učitelů v roce 2015. Cílem nové vlny infekcí byla organizace pro lidská práva Centro PRODH a členové mexické právní pomoci. po celý rok 2022.

Bylo zjištěno, že první exploit s názvem „FINDMYPWN“ funguje proti iOS 15.5 a iOS 15.6 a používá proces fmfd spojený s Find My. Při ukončení a opětovném spuštění procesu bylo zjištěno, že exploit způsobil zápis a smazání položky v adresáři mezipaměti spojeného s Find My.

O využití bylo uvolněno relativně málo informací, částečně proto, že výzkum probíhá, ale také pro pokračující výzkum. Indikátory infekce nejsou zveřejněny, protože Citizen Lab věří, že NSO Group se snaží vyhnout detekci a poskytnutí takových podrobností by pomohlo výrobci spywaru.

Druhý exploit s názvem „PWNYOURHOME“ je dvoufázový exploit s nulovým kliknutím, kde každá fáze cílí na jiné procesy. V první fázi byl použit pád démona v HomeKitu, po kterém následovalo stažení obrázků PNG z iMessage, které zhroutilo BlastDoor.

Není jasné, jak exploit unikne sandboxu BlastDoor, ale je známo, že exploit nakonec spustí Pegasus přes mediaserverd.

CitizenLab odhalil problém HomeKit společnosti Apple, což následně vedlo k opravě v iOS 16.3.1.

Zdá se, že režim uzamčení v systému iOS varuje uživatele před pokusy o útok na iPhone pomocí exploitu tím, že zobrazuje upozornění, že došlo k pokusům o přístup k domovu. Protože však neexistují žádné náznaky, že by NSO přestal nasazovat exploit, může se stát, že NSO přišel na to, jak se vyhnout spouštění oznámení.

Po objevení obou exploitů byla objevena třetí poté, co tým znovu zkontroloval forenzní analýzu pro dřívější případy. Počínaje lednem 2022 a ovlivňujícím iOS 15 byl exploit nazván „LATENTIMAGE“, protože na zařízení zanechával „velmi málo stop“.

Předpokládá se, že exploit používá Find My, i když Citizen Lab nedokázala určit, zda to byl počáteční vektor útoku.

Pegasus je podle Citizen Lab nadále hrozbou kvůli vývoji útoků. Dva ze tří jsou prvními exploity s nulovým kliknutím, které tým pozoroval a které používají dva samostatné vzdálené útoky na iPhone.

„Jak jsme poznamenali v této zprávě, eskalující úsilí NSO Group blokovat výzkumníky a zakrývat stopy infekce, i když je stále neúspěšné, podtrhuje složité výzvy tohoto druhu vyšetřování, včetně vyvážení zveřejňování ukazatelů při zachování schopnosti identifikovat budoucí infekce. “, píše Citizen Lab.

Vysoce rizikovým uživatelům Citizen Lab nabízí, že by měli povolit režim uzamčení kvůli „zvýšeným nákladům na útočníky“.

AppleInsider také důrazně doporučuje obvyklou aktualizaci zařízení, když jsou vydány nové aktualizace softwaru. Protože obsahují opravy chyb a aktualizace zabezpečení, je lepší používat nejnovější ochranu, než ne.