Kluczowe dania na wynos
- Analizując skandal szpiegowski wykryty przez Citizen Lab, analitycy bezpieczeństwa Google odkryli nowy mechanizm ataku znany jako exploit zero-click.
- Tradycyjne narzędzia bezpieczeństwa, takie jak antywirus, nie mogą zapobiec exploitom typu zero-click.
- Apple powstrzymało jednego, ale badacze obawiają się, że w przyszłości będzie więcej exploitów typu zero-click.
Przestrzeganie najlepszych praktyk w zakresie bezpieczeństwa jest uważane za rozważny sposób postępowania w celu zapewnienia bezpieczeństwa urządzeń takich jak laptopy i smartfony, lub dopóki naukowcy nie odkryli nowej sztuczki, która jest praktycznie niewykrywalna.
Podczas analizowania niedawno załatanego błędu Apple, który został wykorzystany do zainstalowania oprogramowania szpiegującego Pegasus na określonych celach, analitycy bezpieczeństwa z Google Project Zero odkryli innowacyjny nowy mechanizm ataku, który nazwali „exploitem zero-click”. że żaden mobilny program antywirusowy nie jest w stanie udaremnić.
W przypadku braku korzystania z urządzenia nie ma sposobu, aby zapobiec wykorzystaniu go przez „eksploit o zerowym kliknięciu;” to broń, przed którą nie ma obrony” – twierdzili inżynierowie Google Project Zero Ian Beer i Samuel Groß w poście na blogu.
Potwór Frankensteina
Oprogramowanie szpiegujące Pegasus jest pomysłem NSO Group, izraelskiej firmy technologicznej, która została teraz dodana do amerykańskiej „Listy podmiotów”, która zasadniczo blokuje je z rynku amerykańskiego.
„Nie jest jasne, jakie rozsądne wytłumaczenie prywatności można znaleźć w telefonie komórkowym, gdzie często wykonujemy bardzo osobiste rozmowy w miejscach publicznych. Ale z pewnością nie oczekujemy, że ktoś podsłuchi nasz telefon, chociaż właśnie to Pegasus pozwala ludziom to robić” – wyjaśnił Saryu Nayyar, dyrektor generalny firmy zajmującej się cyberbezpieczeństwem Gurucul, w e-mailu wysłanym do Lifewire.
Jako użytkownicy końcowi zawsze powinniśmy być ostrożni przy otwieraniu wiadomości z nieznanych lub niezaufanych źródeł, bez względu na to, jak kuszący jest temat lub wiadomość…
Oprogramowanie szpiegujące Pegasus znalazło się w centrum uwagi w lipcu 2021 roku, kiedy Amnesty International ujawniło, że było wykorzystywane do szpiegowania dziennikarzy i obrońców praw człowieka na całym świecie.
Po tym nastąpiło ujawnienie przez badaczy z Citizen Lab w sierpniu 2021 r., po tym, jak znaleźli dowody inwigilacji na iPhone'ach 12 Pro dziewięciu aktywistów z Bahrajnu za pomocą exploita, który omijał najnowsze zabezpieczenia w iOS 14, znane jako BlastDoor.
W rzeczywistości firma Apple złożyła pozew przeciwko NSO Group, obarczając ją odpowiedzialnością za obchodzenie mechanizmów bezpieczeństwa iPhone'a w celu inwigilacji użytkowników Apple za pomocą oprogramowania szpiegującego Pegasus.
Aktorzy sponsorowani przez państwo, tacy jak NSO Group, wydają miliony dolarów na zaawansowane technologie nadzoru bez skutecznej odpowiedzialności. To musi się zmienić”- powiedział Craig Federighi, starszy wiceprezes Apple ds. inżynierii oprogramowania, w komunikacie prasowym dotyczącym pozwu.
W dwuczęściowym poście Google Project Zero Beer i Groß wyjaśnili, w jaki sposób NSO Group umieściła oprogramowanie szpiegujące Pegasus na iPhone'ach celów za pomocą mechanizmu ataku zero-click, który opisali jako niewiarygodny i przerażający.
Eksploat „zero kliknięć” jest dokładnie tym, na co wygląda - ofiary nie muszą niczego klikać ani stukać, aby zostać skompromitowanym. Zamiast tego wystarczy wyświetlić wiadomość e-mail lub wiadomość z dołączonym złośliwym oprogramowaniem, która umożliwia jego zainstalowanie na urządzeniu.
Imponujące i niebezpieczne
Według naukowców atak rozpoczyna się od nikczemnej wiadomości w aplikacji iMessage. Aby pomóc nam przełamać dość złożoną metodologię ataków opracowaną przez hakerów, Lifewire skorzystało z pomocy niezależnego badacza bezpieczeństwa Devananda Premkumara.
Premkumar wyjaśnił, że iMessage ma kilka wbudowanych mechanizmów do obsługi animowanych plików.gif. Jedna z tych metod sprawdza określony format pliku przy użyciu biblioteki o nazwie ImageIO. Hakerzy wykorzystali „sztuczkę GIF”, aby wykorzystać słabość podstawowej biblioteki wsparcia o nazwie CoreGraphics, aby uzyskać dostęp do docelowego iPhone'a.
Jako użytkownicy końcowi powinniśmy zawsze być ostrożni przy otwieraniu wiadomości z nieznanych lub niezaufanych źródeł, bez względu na to, jak kuszący może być temat lub wiadomość, ponieważ jest ona używana jako główny punkt wejścia do telefonu komórkowego, Premkumar poinformował Lifewire w e-mailu.
Premkumar dodał, że obecny mechanizm ataków działa tylko na iPhone'ach, gdy omówił kroki podjęte przez Apple, aby zneutralizować obecną lukę w zabezpieczeniach. Ale chociaż obecny atak został ograniczony, mechanizm ataku otworzył puszkę Pandory.
Exploity typu zero-click nie umrą w najbliższym czasie. Coraz więcej takich exploitów typu zero-click będzie testowanych i wdrażanych przeciwko głośnym celom dla wrażliwych i cennych danych, które można wydobyć z telefonów komórkowych takich użytkowników” – powiedział Premkumar.
Tymczasem, oprócz pozwu przeciwko NSO, firma Apple zdecydowała się zapewnić pomoc techniczną, analizę zagrożeń i inżynierię badaczom z Citizen Lab pro-bono i obiecała zaoferować taką samą pomoc innym organizacjom wykonującym krytyczną pracę w tej przestrzeni.
Dodatkowo, firma poczyniła swoje wkłady w wysokości 10 milionów dolarów, a także wszystkie odszkodowania przyznane z pozwu, aby wesprzeć organizacje zaangażowane w rzecznictwo i badanie nadużyć związanych z inwigilacją cybernetyczną.