לאמנסטי אינטרנשיונל יש עדויות מפורטות המראות כמה מהדרכים שבהן כלי תוכנת הריגול של NSO של NSO חדר למכשירי האייפון של עיתונאים ופעילים, על ידי שימוש בחולשות בתוכנה של אפל, כוללiMessageפגיעות של 0 ימים בלחיצה אפסית.
ביום ראשון, חקירהפורסםבטענה שהכלי של פגסוס שנוצר על ידי קבוצת NSO היה בשימוש על ידי ממשלות כדי לתקוף מבקרים ועיתונאים. בעוד ש-NSO טענה שהכלי נועד לשמש רק נגד פושעים, רשימה שדלפה של יעדים פוטנציאליים חשפה שמספר עיתונאים נמצאו גם במעקב על ידי לקוחות NSO.
בדוחמתפרקיםהראיות הפורנזיות שהותיר אחריו פגסוס, מעבדת האבטחה של אמנסטי אינטרנשיונל מציגה מספר עקבות שחושפים שנוסתה פיגוע פגסוסמכשירי אייפוןוסמארטפונים אחרים. עבור רבות מההתקפות, נראה ש-NSO השתמשה בפרצות בתוכנה של אפל כדי לקבל גישה.
אמנסטי מתארת את ההתקפות המפורטות כנמשכות מ-2014 ועד יולי 2021. חלק מההתקפות נחשבו "אפס קליק", כאשר מטרה אינה חייבת לקיים אינטראקציה בצורה ספציפית כדי להיות מותקפת בהצלחה.
נעשה שימוש גם בפגיעויות מרובות של יום אפס, כולל מקרה אחד של תקיפת תיקון מלאאייפון 12רִיצָהiOS14.6 ביולי.
התקפות המפורטות בדוח החלו כבר במאי 2018.
הזרקת רשת
הקטגוריה הראשונה של ההתקפה היא הזרקת רשת, שבה משתמשים מופנים באופן מסתורי מאתר לגיטימי אחד לאחר. מתחברשל ספאריהיסטוריית הגלישה חשפה כתובות URL חשודות שביקרו בהן, עדות להפניה מחדש שהתרחשה בקושי שנייה לאחר פתיחת דף אינטרנט.
דוגמה ליומני Safari שבהם משתמש מופנה לכתובת אתר חשודה לאחר ביקור באתר לגיטימי.
מסדי נתונים של Favicon הראו גם עדויות להפניות דומות, אם כי לא בהכרח באמצעות גלישה פעילה. באחד המקרים, שירות ה-Safari View המשמש בעת תצוגה מקדימה של קישור משותף בציר הזמן של עיתונאי בטוויטר גרם לטעינת דף האינטרנט ולהפנות לכתובת ה-URL החשודה, למרות שלא נפתח דפדפן נפרד.
רֹאשׁ גֶשֶׁר
רשומות של ביצוע תהליכים חשפו תהליכים המכונים "bh", אשר נקשרו גם לדומיינים של התקנת Pegasus, בדרך כלל מופיעים מיד לאחר ניסיון הזרקת רשת מוצלח.
מאמינים שה-"bh" מתייחס לפגיעות משנת 2016 ב-iOS JavaScriptCore הבינארי, שאפשרה ביצוע קוד וכדי לשמור על התמדה במכשיר לאחר אתחול מחדש. ה-"bh" נחשב ל-"BridgeHead", שם פנימי לרכיב.
אחרי "bh", נעשה שימוש בתהליכים אחרים, כולל "roleaboutd" ו-"msgacntd", אשר מאמינים שהם תהליכים בשלב מאוחר יותר המשמשים לאחר ניצול מוצלח והסלמה של הרשאות. תהליכים דומים אחרים נמצאו, כולל "pcsd" ו-"fmId", שעשויות להיות אותן מטרות.
תמונות
ייתכן שניצול פוטנציאלי בתמונות שימש בהתקפות, עם ראיות המראות שתהליך אפל עבור אפליקציית התמונות שנקרא "mobileslideshow" שימש לפני שתהליך "bh" הופעל.
על פי החשד, נעשה שימוש באפליקציית התמונות או בשירות Photostream כחלק משרשרת ניצול לפריסת פגסוס.
בכל אחד מהמקרים שבהם נעשה שימוש בתמונות, נראה שאותה כתובת חשבון iCloud שימשה עם Photostream. ככל הנראה נדרשים חשבונות iCloud ייעודיים כדי שחלק מהתקפות "אפס קליק" יפעלו.
משנת 2019, נקודות תורפה רבות התגלו ותוקנו ב-iMessage וב-FaceTime, אך נראה שחלק מהבעיות עדיין היו זמינות לשימוש לרעה.
במתקפה אחת, התגלה שחיפושים חשודים של חשבונות iMessage גררו ביצוע תהליכי פגסוס. עיתונאים הונגרים מרובים היו ככל הנראה היעד של אותו מפעיל, עם כתובות ותהליכים דומים ששימשו בכל אחת מהתקיפות.
ההתקפות דרך iMessage חזרו ככל הנראה בשנת 2021, הפעם כללו חיפוש של חשבון iMessage חשוד, ואחריו בקשת HTTP שבוצעה על ידי תהליך טלפוניה. נראה היה שזה ביקש מטען עבור תהליך שכותרתו "שומר סף".
מתקפה ממאי 2021 חשפה חיפוש דומה לחשבון iCloud מסתורי, אם כי לאחר מכן הגיעו לפחות 20 נתחי קבצים מצורפים של iMessage שנוצרו באחסון של האייפון. הודעות דחיפה שימשו ככל הנראה כדרך להחיל את המטען על האייפון היעד לפני הביצוע.
אפל מיוזיק
נמצאו גם ראיות לכך שניתן היה להעביר את פגסוס דרך ה-אפל מיוזיקהאפליקציה ביולי 2020. לצורך הדבקה זו, נרשמה תעבורת רשת עבור Apple Music, כאשר בקשת HTTP מאת אפליקציית Music מצביעה שוב על דומיינים המשמשים להפצת Pegasus.
אמנסטי לא יכלה לקבוע אם אפל מיוזיק עצמה נוצלה לצורך ההדבקה הראשונית, או אם היא שימשה לבריחה מארגזי חול או להסלמה של הרשאות.
בעקבות החקירה, אמנסטי פרסמה אינדיקטורים של פגסוס באמצעותGitHubלסייע לחוקרי אבטחה אחרים במציאת זיהומים אחרים של פגסוס. האינדיקטורים כוללים שמות מתחם בתשתית Pegasus, כתובות דוא"ל ששוחזרו מחיפושי חשבון iMessage ושמות תהליכים המקושרים לתוכנה.
יוצא גם כלי שנקראערכת כלי אימות לנייד. כלי מודולרי, הוא נועד לפשט את תהליך הרכישה והניתוח של נתונים שמקורם במכשירי אנדרואיד, כמו גם ניתוח רשומות מגיבויים של iOS וזרימות מערכת, כדי למצוא עקבות פוטנציאליים נוספים.
סיכון קטן למשתמשים רגילים
הפרטים של פגסוס מוכיחים שעדיין קיימים תחומי דאגה במערכת ההפעלה הניידת של אפל שזקוקים לשיפור וניטור מתמיד. העובדה שהדו"ח מפרט התקפות לאורך שנים מרובות, עד ליולי 2021, מצביעה על כך שהתוכנה עדיין בשימוש, וממשיכה להוות סיכון.
הקביעה כי התקפות ביולי התרחשו נגד אייפון 12 עם תיקון מלא עם iOS 14.6 מדאיגה במיוחד, מכיוון שמראה כי כמה חורי אבטחה עדיין פתוחים וצריכים להיסגר.
עם זאת, לא סביר שפגסוס יהווה בעיה עבור הרוב המכריע של משתמשי האייפון. בעוד שהכלי משמש כמתוכנן נגד פושעים על ידי ממשלות, ההתקפות נגד חפים מפשע הן לכאורה נגד אלה שעלולים להיות מבקרי משטר, כולל עיתונאים ופעילי זכויות אדם.
פגסוס מדאיג, אבל אם אתה במקרה מבקר מרכזי של ממשלה, כנראה שלא תהיה מטרה של כלי תוכנת הריגול.
התעדכן בכל מה של אפל בפודקאסט השבועי של AppleInsider - וקבל עדכון חדשות מהיר מ-AppleInsider Daily. פשוט אמור, "היי, סירי," ל-HomePod mini שלך ובקש את הפודקאסטים האלה, וגם את הפרק האחרון שלנו HomeKit Insider.
אם אתה רוצה חוויית פודקאסט ראשי של AppleInsider ללא פרסומות, תוכל לתמוך בפודקאסט AppleInsider על ידי הרשמה תמורת $5 לחודשדרך אפליקציית הפודקאסטים של אפל, אודרך Patreonאם אתה מעדיף כל נגן פודקאסט אחר.
