Samo patrzenie na tę wiadomość może zagrozić Twojemu urządzeniu

December 20, 2021
WAktualności Ochrona Internetu

Kluczowe dania na wynos

Analizując skandal szpiegowski wykryty przez Citizen Lab, analitycy bezpieczeństwa Google odkryli nowy mechanizm ataku znany jako exploit zero-click.
Tradycyjne narzędzia bezpieczeństwa, takie jak antywirus, nie mogą zapobiec exploitom typu zero-click.
Apple zatrzymał jednego, ale badacze obawiają się, że w przyszłości pojawi się więcej exploitów typu zero-click.

Nastolatek oparł się o ścianę, patrząc na iPhone'a. — Post na ekranie / Unspalsh.com

Postępowanie zgodnie z najlepszymi praktykami w zakresie bezpieczeństwa jest uważane za rozważny sposób postępowania w celu utrzymywania urządzeń takich jak laptopy i smartfony są bezpieczne, lub dopóki naukowcy nie odkryli nowej sztuczki, która jest praktycznie niewykrywalny.

Gdy analizują ostatnio łatane Błąd Apple, który został wykorzystany do zainstalowania oprogramowania szpiegującego Pegasus na określonych celach, badacze bezpieczeństwa z Google Project Firma Zero odkryła innowacyjny, nowy mechanizm ataku, który nazwali „exploitem zero-click”, którego żaden mobilny program antywirusowy nie potrafi folia.

„W przypadku braku korzystania z urządzenia nie ma sposobu, aby zapobiec wykorzystaniu go przez „eksploitę zerowego kliknięcia”; to broń, przed którą nie ma obrony” – twierdził Inżynierowie Google Project Zero Ian Beer i Samuel Groß w poście na blogu.

Potwór Frankensteina

Oprogramowanie szpiegowskie Pegasus jest pomysłem NSO Group, izraelskiej firmy technologicznej, która obecnie działa dodane do amerykańskiej „Listy podmiotów””, który zasadniczo blokuje go z rynku amerykańskiego.

„Nie jest jasne, jakie rozsądne wytłumaczenie prywatności ma telefon komórkowy, w którym często wykonujemy bardzo osobiste połączenia w miejscach publicznych. Ale na pewno nie oczekujemy, że ktoś będzie podsłuchiwał nasz telefon, chociaż Pegasus to umożliwia ludziom” – wyjaśnił. Saryu Nayyar, CEO firmy zajmującej się cyberbezpieczeństwem Gurucul, w e-mailu do Lifewire.

„Jako użytkownicy końcowi powinniśmy zawsze być ostrożni przy otwieraniu wiadomości z nieznanych lub niezaufanych źródeł, bez względu na to, jak kuszący jest temat lub wiadomość…”

Oprogramowanie szpiegujące Pegasus pojawiło się w centrum uwagi w lipcu 2021 roku, kiedy Amnesty International ujawniła że był używany do szpiegowania dziennikarzy i obrońców praw człowieka na całym świecie.

Następnie nastąpiło rewelacja od naukowców z Citizen Lab w sierpniu 2021 r., po tym, jak znaleźli dowody inwigilacji na iPhone’ach 12 Pro dziewięciu bahrańskich aktywistów poprzez exploita, który ominął najnowsze zabezpieczenia w systemie iOS 14, znane pod wspólną nazwą BlastDoor.

W rzeczywistości Apple złożyło pozew przeciwko NSO Group, obarczając ją odpowiedzialnością za obchodzenie mechanizmów bezpieczeństwa iPhone'a w celu inwigilowania użytkowników Apple za pomocą oprogramowania szpiegującego Pegasus.

„Aktorzy sponsorowani przez państwo, tacy jak NSO Group, wydają miliony dolarów na zaawansowane technologie nadzoru bez skutecznej odpowiedzialności. To musi się zmienić” – powiedział Craig Federighi, starszy wiceprezes Apple ds. inżynierii oprogramowania, w komunikacie prasowym dotyczącym pozwu.

W dwuczęściowym poście Google Project Zero Beer i Groß wyjaśnili, w jaki sposób NSO Group wprowadziła oprogramowanie szpiegujące Pegasus na iPhone'y celów wykorzystujące mechanizm ataku zero-click, który opisali jako zarówno niesamowity, jak i przerażający.

Exploit typu zero kliknięć jest dokładnie tym, na co wygląda — ofiary nie muszą niczego klikać ani stukać, aby zostać naruszonym. Zamiast tego wystarczy wyświetlić wiadomość e-mail lub wiadomość z dołączonym złośliwym oprogramowaniem, aby można ją było zainstalować na urządzeniu.

Zbliżenie wiadomości na smartfonie. — Jamie Street / Unsplash.com

Imponujące i niebezpieczne

Według naukowców atak rozpoczyna się od nikczemnego komunikatu w aplikacji iMessage. Aby pomóc nam przełamać dość złożoną metodologię ataków opracowaną przez hakerów, Lifewire skorzystało z pomocy niezależnego badacza bezpieczeństwa Devanand Premkumar.

Premkumar wyjaśnił, że iMessage ma kilka wbudowanych mechanizmów do obsługi animowanych plików .gif. Jedna z tych metod sprawdza określony format pliku przy użyciu biblioteki o nazwie ImageIO. Hakerzy wykorzystali „sztuczkę GIF”, aby wykorzystać słabość podstawowej biblioteki wsparcia o nazwie CoreGraphics, aby uzyskać dostęp do docelowego iPhone'a.

„Jako użytkownicy końcowi powinniśmy zawsze być ostrożni w otwieraniu wiadomości z nieznanych lub niezaufanych źródeł, bez względu na to, jak kuszące są tematem lub wiadomością, ponieważ jest on używany jako główny punkt wejścia do telefonu komórkowego” – poinformował Lifewire Premkumar w e-mail.

Premkumar dodał, że obecny mechanizm ataków działa tylko na iPhone'ach, gdy przeanalizował kroki podjęte przez Apple, aby zneutralizować obecną lukę. Ale chociaż obecny atak został ograniczony, mechanizm ataku otworzył puszkę Pandory.

Zbliżenie na stronie aplikacji na czerwonym iPhonie z dużą liczbą na plakietce w e-mailu. — Sara KurfeÃŸ / Unsplash

Exploity typu zero-click nie umrą w najbliższym czasie. Coraz więcej takich exploitów typu zero-click będzie testowanych i wdrażanych przeciwko głośnym celom dla wrażliwe i cenne dane, które można wydobyć z telefonów komórkowych takich wykorzystywanych użytkowników” – powiedział Premkumar.

Tymczasem, oprócz pozwu przeciwko NSO, Apple zdecydował się zapewnić pomoc techniczną, analizę zagrożeń i inżynierię naukowcom Citizen Lab pro-bono i obiecał oferować taką samą pomoc innym organizacjom wykonującym w tym zakresie kluczową pracę przestrzeń.

Ponadto firma poszła do tego stopnia, że wniosła 10 milionów dolarów, a także wszystkie szkody przyznany z procesu sądowego na wsparcie organizacji zaangażowanych w rzecznictwo i badania cyberinwigilacji nadużycia.