Naukowcy z University of Toronto’s Citizen Lab odkryli program szpiegujący u Apple’a

Naukowcy z University of Toronto’s Citizen Lab odkryli program szpiegujący u Apple’a

Firma Apple wydała awaryjną poprawkę do oprogramowania, aby naprawić lukę w zabezpieczeniach, która według badaczy może umożliwić hakerom bezpośrednie infekowanie urządzeń Apple bez żadnych działań użytkownika.

Naukowcy z University of Toronto’s Citizen Lab stwierdzili, że usterka umożliwiła oprogramowaniu szpiegującemu osławionej najgorszą opinią na świecie firmy zajmującej się wynajmem hakerów, NSO Group, bezpośrednie zainfekowanie iPhone’a saudyjskiego aktywisty.

Jak twierdzą naukowcy, usterka dotyczyła wszystkich systemów operacyjnych Apple.

Po raz pierwszy wykryto i przeanalizowano tak zwany exploit “zero-click” – poinformowali badacze, którzy we wtorek znaleźli złośliwy kod i natychmiast zaalarmowali Apple. Powiedzieli, że według ich najlepszej wiedzy, że za atakiem stoi izraelska firma NSO Group, dodając, że poszkodowany aktywista poprosił o zachowanie anonimowości.

„Niekoniecznie przypisujemy ten atak rządowi saudyjskiemu” – powiedział badacz Bill Marczak.

Chociaż Citizen Lab wcześniej znalazło dowody na to, że exploity typu zero-click były wykorzystywane do włamywania się do telefonów dziennikarzy Al-Jazeera i innych celów, „jest to pierwszy przypadek, w którym exploit został przechwycony, i możemy dowiedzieć się, jak to działa” powiedział Marczak.

Eksperci ds. bezpieczeństwa twierdzą, że przeciętni użytkownicy iPhone’ów, iPadów i komputerów Mac na ogół nie muszą się martwić, ponieważ takie ataki są wysoce ukierunkowane, jednak odkrycie to niepokoi specjalistów ds. bezpieczeństwa.

Złośliwe pliki graficzne zostały przesłane do telefonu aktywisty za pośrednictwem aplikacji do obsługi szybkich wiadomości iMessage, zanim został zhakowany przy użyciu oprogramowania szpiegującego Pegasus NSO, które pozwala na podsłuchiwanie telefonu i kradzież danych, twierdzi Marczak.

Oprogramowanie zostało odkryte podczas drugiego badania telefonu, który według kryminalistyki został zainfekowany w marcu. Dowiedziono, że złośliwy plik powoduje awarię urządzeń.

NSO Group nie odpowiedziała jeszcze na e-mail z prośbą o komentarz.

W poście na swoim blogu firma Apple powiedziała, że wydaje aktualizację zabezpieczeń dla iPhone’ów i iPadów, ponieważ „złośliwie spreparowany” plik PDF może doprowadzić do możliwości włamania. Powiedziała, że zdaje sobie sprawę, że problem mógł zostać wykorzystany i zacytowany przez Citizen Lab.

W kolejnym oświadczeniu szef bezpieczeństwa Apple Ivan Krstic pochwalił Citizen Lab i powiedział, że takie exploity „nie stanowią zagrożenia dla przeważającej większości naszych użytkowników”. Zauważył, podobnie jak w przeszłości, że opracowanie takich exploitów zazwyczaj kosztuje miliony dolarów i często ma krótki okres trwałości. Apple nie odpowiedział na pytania dotyczące tego, czy po raz pierwszy załatał lukę typu zero-click.

Użytkownicy powinni otrzymywać alerty na swoich iPhone’ach zachęcające ich do aktualizacji oprogramowania iOS w telefonie. Ci, którzy chcą wyskoczyć z bronią, mogą odwiedzić ustawienia telefonu, kliknąć „Ogólne”, a następnie „Aktualizacja oprogramowania” i bezpośrednio uruchomić aktualizację łatki.

Citizen Lab nazwał exploit iMessage FORCEDENTRY i stwierdził, że jest skuteczny przeciwko urządzeniom Apple iOS, MacOS i WatchOS.

Badacz John Scott-Railton powiedział, że wiadomości podkreślają znaczenie zabezpieczenia popularnych aplikacji do przesyłania wiadomości przed takimi atakami.

„Aplikacje do czatu stają się coraz częściej głównym sposobem, w jaki państwa i najemni hakerzy uzyskują dostęp do telefonów” – powiedział. „Dlatego tak ważne jest, aby firmy skupiły się na upewnieniu się, że oprogramowania są tak obwarowane, jak to tylko możliwe”.

Naukowcy powiedzieli, że również ujawnia – ponownie – że model biznesowy NSO obejmuje sprzedaż oprogramowania szpiegującego rządom, które będą go nadużywać, a nie tylko funkcjonariuszom organów ścigania ścigającym cyberprzestępców i terrorystów – jak twierdzi NSO.

„Gdyby Pegasus był używany tylko przeciwko przestępcom i terrorystom, nigdy byśmy tego nie znaleźli” – powiedział Marczak.

WhatsApp Facebooka był również rzekomo celem ataku NSO typu zero-click. W październiku 2019 r. Facebook pozwał NSO w amerykańskim sądzie federalnym za rzekome zaatakowanie około 1400 użytkowników usługi szyfrowanej wiadomości za pomocą oprogramowania szpiegującego.

W lipcu globalne konsorcjum medialne opublikowało potępiający raport na temat tego, jak klienci NSO Group od lat szpiegują dziennikarzy, działaczy na rzecz praw człowieka, dysydentów politycznych – i bliskich im ludzi, z grupą hakerów do wynajęcia bezpośrednio zaangażowaną w kierowanie działalnością.

Amnesty International poinformowała, że ​​potwierdziła 37 udanych infekcji Pegasusem w oparciu o ujawnioną listę celów, której pochodzenie nie zostało ujawnione.

Jedna dotyczyła narzeczonej dziennikarza Washington Post, Jamala Khashoggi, zaledwie cztery dni po tym, jak został zabity w konsulacie saudyjskim w Stambule w 2018 roku. CIA przypisała morderstwo rządowi saudyjskiemu.

Ostatnie doniesienia skłoniły również do wezwania do zbadania, czy węgierski prawicowy rząd wykorzystał Pegasusa do potajemnego monitorowania krytycznych dziennikarzy, prawników i osobistości ze świata biznesu. W Parlamencie Indii również wybuchły protesty, gdy prawodawcy opozycji oskarżyli rząd premiera Narendry Modiego o wykorzystywanie produktów NSO Group do szpiegowania przeciwników politycznych.

Francja próbuje też dotrzeć do sedna zarzutów, że prezydent Emmanuel Macron i członkowie jego rządu mogli być celem ataków w 2019 r. niezidentyfikowanych marokańskich służb bezpieczeństwa korzystających z Pegasus.

Maroko, kluczowy sojusznik Francji, zaprzeczył tym doniesieniom i podejmuje kroki prawne w celu odparcia zarzutów o uwikłanie królestwa Afryki Północnej w skandal dotyczący oprogramowania szpiegującego.