Google ostrzega przed luką ForcedEntry w iOS wykorzystywaną przez NSO Group

Z wykorzystaniem luki ForcedEntry system Pegasus był używany przeciwko dysydentom politycznym, aktywistom, dziennikarzom i dyplomatom. Według firmy Google luka ta może pozwolić na produkowanie innych narzędzi szpiegowskich, które będą dysponowały przez to możliwościami znanymi wcześniej jedynie z systemów wykorzystywanych przez elitarne komórki hakerskie działające na zlecenie rządów.

Groźna luka na iPhone'ach

Analizą podatności zajął się zespół Project Zero Google'a specjalizujący się w badaniu nowych zagrożeń cyfrowych. Materiał badawczy dostarczono z laboratorium Citizen Lab przy uniwersytecie w Toronto, które z kolei od wielu miesięcy bada sposoby wykorzystywania systemu szpiegowskiego Pegasus i nadużyć dokonywanych przy jego pomocy.

Luka ForcedEntry wydaje się być podatnością doskonałą do aktywacji oprogramowania szpiegowskiego na telefonie ofiary - nie wymaga od niej żadnych interakcji, takich jak np. kliknięcie w link czy wyrażenie zgody na dostęp do określonych funkcji telefonu. ForcedEntry w swoim działaniu wykorzystuje błędy komunikatora iMessage w systemie iOS, obchodząc w ten sposób zabezpieczenia, które firma Apple ulepszyła w swoim systemie operacyjnym, chcąc utrudnić atakowanie posiadaczy urządzeń tej marki Pegasusem.

Opublikowane przez Apple we wrześniu i październiku łatki zabezpieczające, które miały chronić przed luką ForcedEntry miały zagwarantować większą odporność iPhone'ów na ten i podobne ataki w przyszłości.

Zespół Project Zero ocenia jednak, że luka pozostaje wciąż "jedną z najbardziej zaawansowanych technicznie luk, jakie kiedykolwiek widziano". Zdaniem Google'a firma NSO Group osiągnęła ten poziom zaawansowania technologicznego i innowacyjności, które cechują niewielkie kadry wyspecjalizowanych komórek hakerskich działających na zlecenie rządów wykorzystujących hacking w operacjach szpiegowskich i własnej polityce.

"Nie widzieliśmy tak zaawansowanego exploitu"

Jeden z członków zespołu Project Zero - Ian Beer - w rozmowie z magazynem "Wired" ocenił, że grupa nie widziała jeszcze tak zaawansowanego exploitu pozwalającego na osiągnięcie podobnych możliwości jak ForcedEntry, który byłby wykorzystywany przez cyberprzestępców w praktyce.

"W branży cyberbezpieczeństwa jest wielu, którzy twierdzą, że tego rodzaju exploity to już zamknięty temat" - dodał badacz.

Zdaniem Project Zero łatka zabezpieczająca iMessage - BlastDoor, która została dodana do oprogramowania Apple wraz z systemem iOS 14 w 2020 r. - odniosła pewien sukces i utrudniła działanie podatności. Firma NSO Group jednak znalazła sposób, by i to zabezpieczenie skutecznie obejść.

Jak działa ForcedEntry?

Exploit ten wykorzystuje podatności w iMessage ujawniające się w chwili, gdy w komunikatorze odbierane i interpretowane są pliki takie, jak np. animowane GIF-y. Konkretniej, podatności te mają swoje źródła w przestarzałym narzędziu kompresji, które odpowiada za przetwarzanie tekstu w wiadomościach obrazkowych. Wykorzystywano je wcześniej w fizycznych urządzeniach takich, jak skanery, a jego działanie opierało się na algorytmach z lat 90-tych. To właśnie ono pozwoliło specom z NSO Group na całkowite przejmowanie kontroli nad iPhone'ami ofiar.

ForcedEntry tym jednak różni się od innych, podobnych luk, że dodatkowo nie wymaga centralnego serwera sterującego złośliwym oprogramowaniem. Luka NSO Group działa w oparciu o własne, zwirtualizowane środowisko, które działa "na tyłach" iMessage. To właśnie dlatego ataki z jej wykorzystaniem są tak trudne do wykrycia.

Złośliwe oprogramowanie jako usługa

Zdaniem kanadyjskiego Citizen Lab, analiza ForcedEntry wykonana przez Project Zero podkreśla zagrożenia, jakie wiążą się z prywatyzacją rozwoju złośliwego oprogramowania bazującego na tego rodzaju podatnościach.

"To równorzędne (zagrożenie - red.) z możliwościami, którymi dysponują państwa" - ocenia starszy badacz CL John Scott-Railton. "To naprawdę skomplikowane narzędzia, a jeśli znajdą się w rękach autokratów bez hamulców, słusznie mogą budzić przerażenie i prowokować pytania o to, co jeszcze jest w użyciu, o czym nie wiemy, co czeka na odkrycie. To prawdziwie alarmujące zagrożenia, przed którymi dziś stoi społeczeństwo obywatelskie" - dodaje.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.