След скандала с Pegasus, специалистите на Google Project Zero успяха да се сдобият с iOS версията на зловреден софтуер. Те откриха атака с рядка сложност, която стигна до симулиране на компютър чрез „прост“ анимиран GIF.
С 50 000 набелязани души, включително 1000 във Франция, скандалът с Pegasus е един от най-големите шпионски случаи. За да проникне в телефоните на жертвите, NSO Group е създала атаки за използване на няколко недостатъка, включително „нулево кликване“, наречено Forcedentry. Последният успя да наруши сигурността на iPhone, за да инсталира Pegasus без никакво взаимодействие с потребителя.
Изследователите на киберсигурността Project Zero на Google успяха да анализират iOS версията на зловреден софтуер, за да разберат как работи. За разлика от предишните версии, жертвата не беше подканена да отвори връзка. Тук недостатъкът се крие в показването на GIF анимирани изображения в приложението iMessage.
Компютър, съдържащ се в GIF
Когато приложението се опита да покаже GIF файл в цикъл, то използва един от 20-те налични кодека за изображения в зависимост от типа на файла. Това включва кодек за PDF. За да зарази iPhone, NSO Group създаде PDF файл, който се отваря от PDF интерпретатора на CoreGraphics, който от своя страна използва кодека JBIG2. Недостатъкът е в последното, с което е възможно да се предизвика препълване на купчина.
Въпреки това JBIG2 не може да интерпретира скриптове, което ограничава възможностите до прости логически функции. Следователно разработчиците от NSO Group са използвали 70 000 команди, за да симулират елементарна компютърна архитектура, способна да изпълни скрипт за проникване в устройството. Това е невероятно сложна атака, която използва един от най-основните недостатъци. Специалистите от Project Zero го нарекоха „едно от най-сложните технически подвизи, които някога сме виждали“. Apple поправи дефекта на 13 септември с iOS 14.8.
Скандал с Pegasus: петима френски министри са били шпионирани
Mediapart твърди, че в телефоните на петима настоящи министри има поне следи място за инсталиране на шпионския софтуер Pegasus. Те биха били насочени между 2019 и 2020 г.
Публикувано на 26.09.2021 г. от Louis Neveu
Прочутото „крилато магаре“, с което Гийом Пупарт, шефът на Anssi (Национална агенция за сигурност на информационните системи), се подигра, когато различни френски организации претърпяха масивна кибератака в края на юли, се говори за отново В средата на юли Futura обясни, че софтуерът Pegasus е бил използван за опит за шпиониране на около 1000 французи, независимо дали са журналисти, индустриалци или политически фигури. Днес знаем малко повече за хората, които са били набелязани от 2019 г. Според последната информация, получена от Mediapart, документ, обобщаващ резултатите от проверката на телефоните на членове на правителството, показва, че мобилните телефони на петима министри са " подозрителни маркери“.
Това не означава, че са били шпионирани, а че процесът на настройване на Pegasus поне е започнал. Следователно тези „маркери“ са на телефоните на министъра на националното образование Жан-Мишел Бланкер, министъра на териториалното сближаване Жаклин Гуро, министъра на отвъдморските страни Себастиен Льокорню, министъра на жилищното строителство Еманюел Варгон и Жулиен Денорманди, министър на земеделието. Преди това следи от проследяване за инокулиране на Пегас вече бяха открити в мобилния телефон на Франсоа де Рюги, който тогава беше министър на екологията.
NSO Group отрича
Тези шестима министри в момента са тези, чиито мотиви са се обърнали към подготовката за внедряването на шпионския софтуер, но през юли списък с телефонни номера разкри, че във всичките петнадесет членове на правителството, включително бившият министър-председател, бяха набелязани. Според Mediapart не само министрите са били набелязани, но и висши служители на Елисейския дворец и може би дори президента на републиката, чийто телефонен номер е част от списъка. Например откриваме случая със съветника за Африка на президента на Републиката. Подозрителна следа, когато знаем, че един от клиентите на издателя на Pegasus, NSO Group, е Кралство Мароко, въпреки че страната отрича да е замесена в тези опити за шпионаж. Въпреки откритите технически улики, от своя страна NSO Group обясни, че всички френски министри не са част от целите на Pegasus.
Проект Pegasus: Apple защитава сигурността на своите iPhone
Посочвайки недостатъците на iPhone след разкритията на скандала с Project Pegasus, Apple се защитава и обяснява, че нейният смартфон остава най-сигурният в света. С изключение на това, че недостатъците все още са налице и все още позволяват шпионски софтуер да бъде инсталиран на много специфична цел.
Публикувано на 20/07/2021 от Fabrice Auclert
Проектът Pegasus е гореща тема и докато журналисти, адвокати, податели на сигнали и политици обмислят да заведат дело срещу компанията зад шпионския софтуер, но също и срещу тези, които са създали тази шпионска система, други гласове се надигат срещу слабостта на сигурността на iPhone .
За да шпионират своите цели, хакерите са използвали недостатъка на Kismet, който може да хване iPhone чрез изпращане на обикновено iMessage. След като получателят получи съобщението и го види, без дори да кликне върху него, това задейства инсталирането на шпионския софтуер. Нарича се дефект с нулево кликване и iOS страдаше от него, преди Apple да го закърпи с iOS 14.
Това е типът съобщение, което получава целта на този широкомащабен шпионаж. Няма нужда да щракнете върху връзката, дисплеят на SMS стартира инсталацията. © CitizenLab
Проблем, който все още се използва!
Проблемът – и това е обичайната игра на котка и мишка между хакери и Apple – е, че компанията Israeli NSO Group се адаптира към пачовете на Apple и използва други услуги за отваряне на пробиви. Преди да имаше Apple Photos, а след корекцията за коригиране на iMessage имаше Apple Music. В резултат на това, според доклада на Amnesty International, пропускът все още работи срещу iPhone и iPad, работещи с iOS 14.6, но също и версии 14.3 и iOS 14.4. Ясно е, че атаките винаги са възможни.
В понеделник, след този безпрецедентен скандал, Apple се защити във Washington Post, чрез гласът на Иван Кръстич, ръководител на инженеринга и сигурността. След като „недвусмислено осъди кибератаките срещу журналисти, активисти за правата на човека и други, които се стремят да направят света по-добро място“, този лидер твърди, че „Apple е в челните редици на иновациите в сигурността и следователно изследователите по сигурността са съгласни, че iPhone е най-сигурното потребителско мобилно устройство на пазара.
Ами Android?
Според него „атаки като описаните са много сложни, струват милиони долари за разработване, често имат кратък живот и се използват за насочване към конкретни хора“. За Apple тези атаки "не представляват заплаха за огромното мнозинство" от потребителите на iPhone.
Какво ще кажете за Android? Операционната система на Google не е пощадена от този шпионски софтуер и хиляди цели са използвали смартфон с Android, главно модели на Samsung. За да ги заразят, хакерите са използвали и пропуск от „нулев ден“, присъстващ в WhatsApp. Принципът беше същият като при iMessage, но този път беше достатъчно да се обадите на контакт, за да е възможно хакването, дори ако обектът на атаката не отговори на обаждането! Собственикът на Whatsapp, Facebook коригира грешката и подаде жалба срещу NSO Group.
Още през 2018 г. ръководителите на WhatsApp предупредиха, че дейностите са били хакнати от шпионския софтуер Pegasus. © LoboStudioHamburg, Pixabay, DP
Проектът Pegasus: обратната страна на огромен кибершпионски скандал
Държавите са инсталирали шпионски софтуер на хиляди телефони на журналисти и активисти от петдесет държави. Повече от 1000 французи ще бъдат част от тези цели.
Публикувано на 19.07.2021 г. от Louis Neveu
Това е скандалът от тази неделя, 18 юли. По време на разследване от Forbidden Stories, огромен международен консорциум от журналисти от седемнадесет редакции и подкрепен от Amnesty International, успя да възстанови списък от 50 000 телефонни номера, атакувани от шпионски софтуер, наречен Pegasus. Софтуер, който се връща навреме в новините и който вече беше споменат от Futura.
В това проучване изглежда, че много държави използват този шпионски софтуер за наблюдение на активисти, адвокати, политици, журналисти и опоненти по целия свят. Сред мишените са около тридесет журналисти и шефове на френски медии от вестник Le Monde, France Télévisions, Le Figaro и AFP. Общо повече от 1000 французи ще бъдат засегнати. Тринадесет държавни и правителствени ръководители, включително трима европейци, също са били шпионирани чрез Pegasus. Изброените 50 000 телефонни номера не са шпионирани, но са част от списък с потенциални мишени.
Софтуерът може да бъде внедрен по различни начини в мобилен телефон с Android или iPhone: грешка от нулев ден чрез приложение като iMessage или WhatsApp, директен достъп до смартфона, инсталиране чрез уловена връзка, като злонамерен софтуер. След като се настани там, трудно се открива, тъй като е на нивото на ядрото на телефона, тоест в сърцето на операционната система, както е описано в статия на компанията за киберсигурност Lookout. Никое криптиране на данни не е ефективно за защита срещу него. Следователно той отменя този на приложения като Signal или Telegram. Освен за възстановяване на съобщения, снимки, контакти и прослушване на разговори, може да се използва и за активиране на микрофона и камерата на мобилния телефон.
Инструментът се присажда в ядрото на системата и става неоткриваем. Ето фрагмент от кода за задействане на микрофона на мобилния телефон да записва това, което неговият микрофон може да улови. © Lookout
Мощно кибер оръжие
Този конкретен софтуер се публикува от израелската компания NSO Group. Компания, която сега се превърна в лидер в телефонния мониторинг. NSO Group е създадена от двама бивши агенти на IDF Unit 8200. Единица от хакери, проследяващи пропуски в системи и приложения за внедряване на шпионски софтуер. Въпреки това, което твърди, проучването, публикувано в Le Monde, показва, че компанията не винаги е наблюдателна и понякога продава своя шпионски софтуер на всеки, който иска да го купи.
Тя има около четиридесет държави като клиенти, включително Мароко, Казахстан или Азербайджан. От друга страна, тя ще се въздържи от работа в около петдесет страни и някои държави, които се считат за твърде чувствителни. Такъв е случаят със САЩ, Русия или Израел. Нещо повече, последният е този, който издава разрешенията за пускане на пазара на неговия софтуер и който понякога го принуждава да премине червената линия по дипломатически причини.
Както показва проучването, този шпионски софтуер може да се разглежда като истинско кибер-оръжие за оборудване на малка страна с инструмент, който може да се използва за борба с тероризма и престъпността, но също и за контрол на медиите и опонентите. Преди всичко този скандал показва, че за разлика от пазара на оръжие, разпоредбите, регулиращи продажбата на кибероръжия, са много неясни. Правна неяснота, която може да бъде опасна, когато това мощно оръжие се продаде на репресивна държава.
---
Открийте TechPod, двумесечното обобщение на новини за технологии и мобилност!
---
!
Благодарим ви за абонамента. Радваме се да ви броим сред нашите читатели!