iOS 9.3.5: виправлення безпеки і невдала атака проти правозахисника з Арабських еміратів

Як повідомляє Citizen Lab, її співробітникам спільно з Lookout Security вдалося дослідити спробу встановлення стеження за правозахисником з Арабських еміратів Ахмедом Мансуром, для якої були використані дві уразливості в ядро iOS і одна WebKit. 10-11 серпня він отримав SMS-повідомлення, в якому пропонувалося перейти по посиланню, щоб отримати інформацію про полонених, пытаемых в тюрмах ОАЕ. Замість цього, запідозривши недобре, Ахмед звернувся до фахівців з інформаційної безпеки.
Співробітники компанії використовували свій телефон, можна сказати, як ханипота, завдяки чому їм вдалося проаналізувати шкідливе ПО, спрямоване проти Мансура. Сліди привели до NSO Group і уряду ОАЕ.
NSO Group
NSO Group – компанія, що базується в Ізраїлі. За даними Bloomberg, належить (або належала; існує інформація про пошук покупця з метою продажу за один мільярд доларів) американської ТОВ Francisco Partners Management, що спеціалізується на венчурному капіталізмі. Один з продуктів NSO Group – шпигунське ПЗ під назвою Pegasus, що продається різним урядовим організаціям.
Співзасновники NSO Group також причетні до компанії Kaymera, що пропонує послуги із захисту інформації. Вебсайт цієї організації містить копію статті Bloomberg, щоб повідомити про гру по обидві сторони кібервійн.
Pegasus
Відомо, що одним з векторів атаки для подальшої установки Pegasus є SMS-повідомлення. Жертва переходить за посиланням на так званий "анонимизатор", який з'єднується з сервером установки, видає відповідний експлоїт за юзер-агенту.
Для атаки проти Ахмеда використовувалися три уразливості під загальною назвою Trident. Одна з них дозволяє виконати шкідливий код через WebKit. Потім для отримання необхідних привілеїв експлуатуються помилки в коді ядра XNU.
Фрагмент з розсилки Apple:
iOS 9.3.5 is now available and addresses the following:

Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to disclose kernel memory
Description: A validation issue was addressed through improved input sanitization.
CVE-2016-4655: Citizen Lab and Lookout

Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to execute arbitrary code with kernel privileges
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4656: Citizen Lab and Lookout

WebKit
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: Visiting a maliciously crafted website may lead to arbitrary code execution
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4657: Citizen Lab and Lookout
Pegasus включає в себе фреймворк Cydia Substrate, який використовується для впровадження в різні програми, в тому числі iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram, Skype, Line, KakaoTalk, WeChat, Surespot, Imo.im, Mail.Ru Tango, VK, і Однокласники. Також зчитуються календарі, контакти і паролі.
Він здатний спілкуватися з сервером управління через HTTPS і SMS.
Висновок
На думку Citizen Lab, атака вкрай витончена й рідкісна. Подібні експлоїти можуть коштувати від декількох сотень тисяч аж до мільйона доларів. Apple відразу ж відгукнулася і вирішила проблему приблизно за 10 днів, випустивши версію 9.3.5.
Це далеко не перший випадок переслідування активістів з боку репресивних режимів. Очевидно, що компанії, пособляющие їм, цінують гроші більше, ніж людські життя. Варто зауважити, що в Ізраїлі для експорту шпигунського ПЗ необхідно отримати спеціальну ліцензію. Отже, якщо NSO Group подавала заявку і не отримала відмови, то виходить, що червивы люди не тільки в їх офісах, але і в урядових.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.