Újabb résen jutott be az izraeli kémprogram az iPhone-okra
Aggasztó nulladik napi sebezhetőséget sikerült befoltozni a legutóbbi iOS-ben, ami lehetőséget adott a hírhedt Pegasus spyware telepítésére. Az Apple már 2021 óta küzd az NSO Group szoftvere ellen.
A Citizen Lab felügyeleti labor kutatói csütörtökön publikálták tanulmányukat, miszerint az iOS eddig ismeretlen sebezhetőségén keresztül az izraeli NSO céghez köthető kémprogramokat sikerült telepíteni több áldozat eszközére. A csoport többek közt egy washingtoni civilszervezet tagjainak készülékét vizsgálta át, amin arra utaló jeleket fedezett fel, hogy a mobilokat az NSO Pegasus nevű spyware-ével fertőzhették meg.
A biztonsági szakértők nem közöltek további részleteket az érintettekről és lehetséges további megfigyelésekkel kapcsolatban, de mindenképp figyelmet érdemel a sérülékenység. A hiba lehetővé tette az iOS 16.6-os verzióját futtató iPhone készülékek kompromittálását az áldozat bármilyen interakciója nélkül, tehát zero-click exploitok kivitelezésére volt alkalmas - a kártékony kód gyakorlatilag bármilyen fertőző melléklet vagy link megnyitása nélkül eljuttatható volt a mobilokra. A cég BLASTPASS-nek nevezte el az exploitot, mivel kapcsolódik a PassKit keretrendszerhez, amivel a fejlesztők az Apple Pay fizetési megoldást építhetik be alkalmazásaikba.
A hiba jelentése után az Apple talált egy második rést is, majd kiadta a szükséges biztonsági javításokat a 16.6.1-es verzióval, ami új funkciókat nem hoz, csak az említett sebezhetőségeket foltozza be.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Az Apple tavaly jelentette be a Lockdown Mode nevű fejlesztést, amivel politikusok, aktivisták és más közszereplők védelmén szeretne erősíteni a Pegasushoz hasonló kémszoftverek és államilag szponzorált hackertámadások ellen. A speciális zárolási mód számos funkciót és hozzáférést tilt le az eszközökön, hogy minél kevesebb sebezhető pontot hagyjon a támadók számára: például az iMessage előnézeti módjait, a Safari böngészőbe épített JavaScript funkciókat, tiltja az üzenetek alkalmazásban a legtöbb mellékletet, blokkolja az ismeretlen személyektől, telefonszámoktól érkező FaceTime-hívásokat és Apple-szolgáltatásokra szóló meghívókat, illetve eltünteti a megosztott albumokat a fotók alkalmazásból.
A fejlesztést megelőzte, hogy a cupertinói cég egyre több felszólítást kapott kormányzati oldalról a 2021-es Pegasus-botrány kirobbanása után. Ahogy a cég is megjegyzi: a felhasználók többsége sosem lesz államilag szponzorált támadások célpontja, egy szűkebb réteg számít kitettnek, közéjük tartoznak újságírók, emberi jogi aktivisták, üzleti vezetők, politikusok, ennek elsődleges oka, hogy a Pegasushoz hasonló kémprogramok több százmillió dollárba kerülhetnek, és csak szűkebb kör megcélzására alkalmasak. A Pegasust elsősorban bűnüldözési és terrorellenes célokra rendelik meg a nemzetállamok szakszolgálatai, szigorú licencelési feltételek mellett, egy felderítési és nyomozati tevékenységet támogató csomag, ami az elmúlt évek során több alkalommal is visszaélésekre adott lehetőséget.
A nagy techcégek nem nézik jó szemmel az izraeli cég tevékenységét: az Apple 2021-ben pert indított, amiért az NSO Group szerinte károsította üzletét, amikor kiderült, hogy számos visszaéléshez az iOS egyik sérülékenységét használták ki, a Meta pedig a WhatsApp elleni támadási próbálkozások miatt tett jogi lépéseket. Abban az évben az Egyesült Államok Kereskedelmi Minisztériuma is feketelistára tette a csoportot, ezzel megelőzve az amerikai vállalatokkal való együttműködéseket, ami a legmarkánsabb intézkedés, amit az amerikai kormány hozhat egy külföldi vállalat ellen. Az NSO Groupon kívül a szintén kormányzati felhasználásra szánt kémeszközöket készítő Candiru és a Cytrox is egyre fejlettebb szolgáltatásokkal állnak elő, ami szintén sürgette a válaszlépéseket a techcégek részéről.
Az Apple bő másfél hónappal a Pegasus-botrány után tavaly szeptemberben adott ki a kémprogram működését ellehetetlenítő frissítéseket, miután a Torontói Egyetem segítségével sikerült beazonosítani a kihasznált biztonsági rést. Ivan Krstić, a vállalat biztonsági mérnöke akkor azt mondta: a hasonló támadási felületek feltérképezése, majd pedig az azokra épülő szoftver kifejlesztése rendkívül aprólékos és hosszú, több millió dollárt felemésztő munka, az elkészült megoldások pedig jellemzően rövid életűek. Mint látható, még napjainkban is akadnak olyan rések, amiket nem sikerült észrevenni.