Ключевые выводы
- Анализируя шпионский скандал, раскрытый Citizen Lab, исследователи безопасности Google обнаружили новый механизм атаки, известный как эксплойт с нулевым кликом.
- Традиционные инструменты безопасности, такие как антивирус, не могут предотвратить эксплойты с нулевым щелчком мыши.
- Apple остановила одну из них, но исследователи опасаются, что в будущем будет больше эксплойтов с нулевым кликом.
Следование рекомендациям по обеспечению безопасности считается разумным способом обеспечения безопасности таких устройств, как ноутбуки и смартфоны, или так было до тех пор, пока исследователи не обнаружили новый трюк, который практически невозможно обнаружить.
Анализируя недавно исправленную ошибку Apple, которая использовалась для установки шпионского ПО Pegasus для определенных целей, исследователи безопасности из Google Project Zero обнаружили инновационный новый механизм атаки, который они назвали «эксплойтом с нулевым щелчком», который не может распознать ни один мобильный антивирус.
«Если не использовать устройство, нет никакого способа предотвратить эксплуатацию с помощью «эксплойта с нулевым щелчком»; это оружие, против которого нет защиты», — заявили инженеры Google Project Zero Ян Бир и Сэмюэл Гросс в своем блоге.
Монстр Франкенштейна
Шпионское ПО Pegasus является детищем NSO Group, израильской технологической фирмы, которая теперь была добавлена в «чёрный список» США, что фактически блокирует его доступ на рынок США.
«Непонятно, какое разумное объяснение конфиденциальности можно найти на мобильном телефоне, с которого мы часто совершаем очень личные звонки в общественных местах. Но мы, конечно, не ожидаем, что кто-то будет слушать наш телефон, хотя Pegasus позволяет людям это делать. », — объяснил Сарью Найяр, генеральный директор компании по кибербезопасности Gurucul.
«Как конечные пользователи, мы всегда должны быть осторожны, открывая сообщения из неизвестных или ненадежных источников, независимо от того, насколько заманчивой может быть тема или сообщение…»
Шпионское ПО Pegasus стало известно в июле 2021 года, когда Amnesty International сообщила, что оно использовалось для слежки за журналистами и правозащитниками по всему миру.
За этим последовало откровение исследователей из Citizen Lab в августе 2021 года, после того как они обнаружили доказательства слежки за девятью бахрейнскими активистами на iPhone 12 Pro с помощью эксплойта, который обошел последние средства защиты в iOS 14, известные под общим названием BlastDoor.
Фактически, Apple подала иск против NSO Group, возложив на нее ответственность за обход механизмов безопасности iPhone для наблюдения за пользователями Apple с помощью своего шпионского ПО Pegasus.
«Спонсируемые государством субъекты, такие как NSO Group, тратят миллионы долларов на сложные технологии наблюдения без эффективной подотчетности. Это необходимо изменить», — сказал Крейг Федериги, старший вице-президент Apple по разработке программного обеспечения, в пресс-релизе по поводу судебного процесса.
В посте Google Project Zero, состоящем из двух частей, Бир и Гросс объяснили, как NSO Group установила шпионское ПО Pegasus на iPhone целей, используя механизм атаки с нулевым щелчком, который они назвали одновременно невероятным и ужасающим.
Эксплойт с нулевым кликом — это именно то, на что это похоже: жертвам не нужно щелкать или нажимать что-либо, чтобы быть скомпрометированным. Вместо этого простой просмотр электронного письма или сообщения с вложенным вредоносным ПО позволяет установить его на устройство.
Впечатляющий и опасный
По словам исследователей, атака начинается с вирусного сообщения в приложении iMessage. Чтобы помочь нам проанализировать довольно сложную методологию атаки, разработанную хакерами, пришлось обратиться за помощью к независимому исследователю безопасности Девананда Премкумара.
Премкумар объяснил, что iMessage имеет несколько встроенных механизмов для обработки анимированных файлов .gif. Один из этих методов проверяет определенный формат файла с помощью библиотеки с именем ImageIO. Хакеры использовали «гиф-трюк», чтобы использовать уязвимость в базовой библиотеке поддержки, называемой CoreGraphics, чтобы получить доступ к целевому iPhone.
«Как конечные пользователи, мы всегда должны быть осторожны, открывая сообщения из неизвестных или ненадежных источников, независимо от того, насколько заманчивой может быть тема или сообщение, поскольку они используются в качестве основной точки входа в мобильный телефон», — сообщил Премкумар.
Премкумар добавил, что текущий механизм атаки, как известно, работает только на iPhone, поскольку он рассмотрел шаги, которые Apple предприняла для устранения текущей уязвимости. Но в то время как текущая атака была свернута, механизм атаки открыл ящик Пандоры.
«Эксплойты с нулевым щелчком не исчезнут в ближайшее время. Их будет все больше и больше, протестированных и развернутых против высокопоставленных целей для конфиденциальных и ценных данных, которые можно извлечь из мобильных телефонов таких эксплуатируемых пользователей, — сказал Премкумар.
Между тем, в дополнение к иску против NSO, Apple решила предоставить техническую, разведывательную и инженерную помощь исследователям Citizen Lab на безвозмездной основе и пообещала предложить такую же помощь другим организациям, выполняющим важную работу в этой области.
Кроме того, компания пошла на то, чтобы выделить 10 миллионов долларов, а также все убытки, присужденные по иску, для поддержки организаций, занимающихся защитой и исследованием злоупотреблений в области кибер-наблюдения.