פגסוס, תוכנת הריגול ששימשה ממשלות כדי לפרוץ בחשאי למכשירי אייפון של עיתונאים ויריבים פוליטיים, השתמשה בשלושה שימושי אפס קליקים המשפיעים על iOS 15 וiOS 16במקסיקו בשנת 2022.
NSO Group היא היוצרת הידועה לשמצה של Pegasus, כלי מעקב שנמכר לממשלות וסוכנויות אכיפת חוק ברחבי העולם כדי לרגל אחר מכשירים של אנשים. בשימוש מפורסם כדי לפרוץ אתמכשירי אייפוןשֶׁלפעילי זכויות אדםועיתונאים, תוכנת הריגול מהווה איום מרכזי על האבטחה והפרטיות של אנשים המעניינים את לקוחות קבוצת NSO.
בעוד שלפני כן נמצא כי פגסוס משתמשניצול אפס קליקיםכדי להביס את הביטחון שלiOS 14, Citizen Labגילהמקרים שבהם שלושה ניצולים נוספים של אפס קליקים. הפעם, השלושה שימשו לחדור לאייפונים הפועליםiOS 15ו-iOS 16.
הקבוצה מצאה את המעללים החדשים באוקטובר 2022, כחלק מחקירה עם ארגון זכויות האדם הדיגיטלי המקסיקני Ren ed Defensa de los Derechos Digitales. בבחינת מכשירי אייפון ששימשו מגיני זכויות אדם במקסיקו, שלושת המעללים התגלו כדרכים חדשות לגמרי שבהן פגסוס הצליחה להדביק מכשירים.
ההתקפות נמצאו בחלק מהמקרים חופפים לאירועי 2022 ב"מקרה איוצינאפה," בהתייחס להיעלמותם של תלמידים שהפגינו על שיטות העסקת מורים בשנת 2015. ארגון זכויות האדם Centro PRODH וחברי סיוע משפטי מקסיקני היו ממוקדים בגל החדש של זיהומים במהלך 2022.
שלושה שימושי אייפון בלחיצה אפסית
הניצול הראשון, שכותרתו "FINDMYPWN", התגלה כעובד נגד iOS 15.5 ו- iOS 15.6 והשתמש בתהליך fmfd הקשור למצא את שלי. עם יציאת התהליך והשקה מחדש, נצפה שהניצול גרם לכתיבה ולמחיקה של פריט בתוך ספריית מטמון הקשורה ל- Find My.
מידע מועט יחסית פורסם על הניצול, בין השאר משום שהמחקר נמשך, אך גם לצורך המשך המחקר. אינדיקטורים לזיהום אינם מתפרסמים מכיוון שמעבדת Citizen מאמינה שיש מאמצים של קבוצת NSO להתחמק מגילוי, ומסירת פרטים כאלה תסייע ליצרן תוכנות הריגול.
ניצול שני בשם "PWNYOURHOME" הוא ניצול דו-שלבי אפס קליק, שבו כל שלב מכוון לתהליכים שונים. דמון מתרסק פנימהHomeKitהיה בשימוש בשלב ראשון, ולאחר מכן הורדת תמונות PNG מiMessageשמתרסק את BlastDoor.
לא ברור כיצד הניצול בורח מארגז החול של BlastDoor, אך ידוע שהניצול אכן משיק בסופו של דבר את Pegasus דרך mediaserverd.
CitizenLab חשפה בפני אפל את בעיית HomeKit, מה שהביא לתיקון ב-iOS 16.3.1.
זה נראה שכןמצב נעילהב-iOS מזהיר משתמשים מניסיונות לתקוף את האייפון באמצעות הניצול, על ידי הצגת התראות שנעשו ניסיונות לגשת לבית. עם זאת, מכיוון שאין אינדיקציות ש-NSO הפסיקה לפרוס את הניצול, ייתכן שהמקרה ש-NSO הבינה כיצד להימנע מהפעלת ההודעות.
לאחר גילוי שני המעללים, שליש התגלה לאחר שהצוות בדק מחדש ניתוח פורנזי למקרים קודמים. החל מינואר 2022 והשפיע על iOS 15, הניצול זכה לכינוי "LATENTIMAGE" עקב השארת "מעט מאוד עקבות" במכשיר.
מאמינים שהניצול משתמש ב- Find My, אם כי Citizen Lab לא יכלה לקבוע אם זה היה וקטור ההתקפה הראשוני.
איום מתמשך
פגסוס ממשיכה להוות איום, לפי Citizen Lab, עקב התפתחות ההתקפות. שניים מהשלושה הם הניצול הראשון של אפס קליקים שהצוות ראה שמשתמש בשני משטחי התקפה מרוחקים נפרדים באייפון.
"כפי שציינו בדו"ח זה, המאמצים המתגברים של NSO Group לחסום חוקרים ולטשטש עקבות של זיהום, למרות שבסופו של דבר עדיין לא מוצלחים, מדגישים את האתגרים המורכבים של חקירות מסוג זה, כולל איזון פרסום האינדיקטורים תוך שמירה על היכולת לזהות זיהומים עתידיים ", כותב Citizen Lab.
עבור משתמשים בסיכון גבוה, Citizen Lab מציעה שהם צריכים להפעיל את מצב הנעילה, בשל "העלות המוגברת שנגרמה לתוקפים".
AppleInsiderגם ממליץ בחום לעדכן מכשירים באופן רגיל כאשר יוצאים עדכוני תוכנה חדשים. מכיוון שהם כוללים תיקוני באגים ועדכוני אבטחה, עדיף ללכת עם ההגנה העדכנית ביותר מאשר לא.
