-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Exploit zero-click w iPhonie używany do infekcji Pegasusem

25 sierpnia 2021, 08:44 | W biegu | komentarzy 11

Badacze z firmy Citizen Lab informują o wykryciu programu Pegasus zainstalowanego na urządzeniach iPhone dziewięciu aktywistów z Bahrajnu. Do infekcji doszło przy użyciu exploitów zero-click (czyli takich, które nie wymagają żadnej interakcji ze strony ofiary) na aplikację iMessage. Wykorzystano znaną od 2020 roku podatność KISMET oraz exploit FORCEDENTRY wykryty w lipcu 2021 roku przez Amnesty International. W przypadku FORCEDENTRY pierwsze ataki datuje się na luty 2021 roku. Ominięto funkcję BlastDoor, która odebrane wiadomości poddaje analizie w sandboxie.

Ochrona przed tym exploitem do czasu aktualizacji przez firmę Apple (która potwierdza możliwość ataku w ten sposób) ogranicza się do wyłączenia iMessage i FaceTime, ale skutkuje to nieszyfrowaną komunikacją, czyli teoretycznie zwiększa pole działania dla przestępców używających mniej wyszukanych narzędzi niż Pegasus.

We believe that the specific attacks we mention in this report could have been prevented by disabling iMessage and FaceTime. However, NSO Group has successfully exploited other messaging apps in the past to deliver malware, such as WhatsApp.

Poszkodowani to troje członków partii Waad, trzy osoby należące do Bahrain Center for Human Rights, opozycjonista Al Wefaq oraz dwie osoby mieszkające obecnie w Londynie: Moosa Abd-Ali i Yusuf Al-Jamri. Do infekcji użyto pięciu adresów IP, z czego dwa wskazywały na domeny:

Pierwsze ataki zaczęły się w okresie lipiec – wrzesień 2020 roku. Po uruchomieniu exploita KISMET w logach zapisywały się błędy IMTranscoderAgent, który odpowiada za transkodowanie i wyświetlanie plików graficznych w iMessage. Szczególnie często pojawiał się błąd podczas parsowania profili ICC w plikach JPEG.

Po serii tych błędów wywoływany był WebKit (silnik Safari, a w przeszłości m.in. Chrome) w celu pobrania danych z serwerów infrastruktury Pegasus.

Kiedy jedna z ofiar zaktualizowała iOS do wersji 14 we wrześniu 2020 roku, otrzymała wiadomość od fałszywej strony śledzenia przesyłek DHL. Mogła przez przypadek wyświetlić podgląd linku, kiedy chciała przesłać tę wiadomość do Citizen Lab. Mimo wszystko link przekierowywał do strony operatora Pegasus.

Oznacza to również, że poprzedni exploit nie zadziała w wypadku wersji 14 iOS. W okresie od lutego do lipca 2021 roku zaczęto pracę z nowym exploitem. Ponownie pojawiła się seria błędów związanych z IMTranscoderAgent, ale tym razem dotyczyła naruszenia ochrony pamięci w funkcji copyGifFromPath:toDestinationPath:error. Jedna z odmian tego błędu odnosiła się do renderowania plików PSD z pakietu Adobe Photoshop. Druga miała miejsce podczas dekodowania danych JBIG2 (używanych do kompresji) „zaszytych” w pliku PDF.

Następnie serię błędów zwracał demon monitora temperatury w iOS, po czym trzykrotnie wywoływał proces tailspin uruchomiony razem z procesem amdif, który tak naprawdę był Pegasusem.

FORCEDENTRY dotyczy iOS w wersji 14.4 14.6 i jest to zero-day.

Na uwagę zasługuje fakt, że jedna z osób poszkodowanych (członek Bahrain Center for Human Rights) otrzymała taką spreparowaną wiadomość od Batelco (dostawca usług telekomunikacyjnych działający w Bahrajnie):

Adresat skontaktował się z firmą Batelco, która odpowiedziała, że wiadomość nie została wysłana przez nią. Co ważniejsze, skrócony URL przekierowywał na domenę info-update.org należącą do infrastruktury Pegasus, która z kolei przekierowywała na prawdziwą stronę logowania Batelco.

Badacze odnaleźli też domenę start-anew.net, której serwer listuje katalogi:

Plik 1 okazał się kodem HTML zawierającym informację o planowanym uruchomieniu witryny za pewien czas.

Zalecenie dla wszystkich osób mogących być celem Pegasusa powinno wskazywać na konieczność minimalizacji pola ataku. Najlepiej używać starych telefonów, bez różnych dodatków typu Bluetooth czy NFC. Nigdy nie wiadomo, w jakiej usłudze będzie ukryty kolejny zero-day. Już raz mieliśmy styczność z podobną sytuacją.

–Michał Giza

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomasz21

    Witam; Ciekawe jak to się skończy dla ludzi? Czy to do nich dociera?
    Czy oni potrafią myśleć samodzielnie? Mam wrażenie że mają problemy, i to dość poważne. A może się mylę???
    pozdrawiam.

    Odpowiedz
    • wk

      @Tomasz21

      Zależy dla jakich ludzi. Niektórzy na tym dobrze zarobią ;)

      Odpowiedz
  2. wk

    Ojojoj

    Można przypuszczać, że im bardziej wypromowane będą ajfony jako urządzenia z wzmocnionym bezpieczeństwem, tym częściej będą dedykowane dla nich ataki. Bo będzie się bardziej opłacało. Szczególnie że w porównaniu do mnogości konfiguracji androida ios jest bardzo powtarzalny.

    Odpowiedz
  3. Bartosz

    Co w przypadku jeśli ktoś wysyła ci link do śledzenia z dHl. Zgłaszać taka sprawę na policję ?

    Odpowiedz
    • Michał

      Najlepiej do CERT przez formularz na ich stronie, policja w praktyce niewiele pomoże. Oczywiście złośliwy link niekoniecznie musi podszywać się pod DHL

      Odpowiedz
    • whitehat

      Zgłaszać do cert.pl żeby zdjęli

      Odpowiedz
    • asdsad

      Zapytają się wtedy: „ale ukradli coś panu? Nie??? To co pan zgłaszasz, skoro nie ma przestępstwa?!? Następny!”

      Odpowiedz
      • Jeśli się tak pytają, to według mnie powinni wylecieć z tej „roboty” – bez wypowiedzenia. A jak powiesz, że coś ukradli, to cię wrobią w składanie fałszywych oskarżeń (przekroczą swoje uprawnienia w sposób rażący). Ich miejsce nie jest w policji!

        Odpowiedz
    • wk

      @Bartosz

      Ja bym zgłaszał do DHL. Taka duża firma ma większe możliwości skutecznego zgłoszenia na policję. Ewentualnie, tak jak Koledzy mówią: do CERT.

      Odpowiedz
  4. arturro9

    „Najlepiej używać starych telefonów, bez różnych dodatków typu Bluetooth czy NFC”. Bez Bt? Bez fajnego nfc? Moze jeszcze bez wifi? Stary telefon?Oj,jakie to dziadowskie!!!😂😂😋😋😂😋😄😍 Toz to stare dziady tylko nie uzywaja smarkfonow z milionem apek!😀😀😀. Toz to wsteczniactwo😃😃😃😀😀. Ja jestem super nowoczesny😀😀 Ide se do sklepu, pik i zplacone fonikiem 😁. Na fejsie mam ja wszystko 😂😂, Ja jestem nowoczesny!!!
    Jakie to wszystko ter wygodne jest! A wladzy nie podskakuje, a zbuntowana baba nie jestem, nawet dalem se wszczepic chipa,ale to tylko dla tego zeby wlesc na koncert. Jestem Juzek! Oczywiscie, to byla ironia. Dziwie, sie dziwie, i nadziwic sie nie moge, bezmyslnosci wielu.

    Odpowiedz
    • Stefek Z miasta

      Może jeszcze napiszesz, że szczepionki z płodów?
      No i fajnie, ze na koncert nie wejdziesz, antyszczepie :D
      Już niedługo i podziękują Ci w pracy a i maskę będzie nosił wszędzie :)

      Odpowiedz

Odpowiedz na Tomasz21