Эксперты Google разобрались в работе шпионского ПО Pegasus
Google Project Zero, группа экспертов по безопасности, занимающаяся поиском уязвимостей в программном обеспечении, которые могут быть использованы хакерами, опубликовала свой анализ эксплойта ForcedEntry. Эксплойт ForcedEntry был разработан израильской фирмой NSO Group, которая использовала его и уязвимость в платформе Apple iMessage для развертывания своего шпионского ПО Pegasus.
Команда Google Project Zero использовала образец ForcedEntry, предоставленный экспертами Citizen Lab из Университета Торонто, которые первыми обнаружил эксплойт. При глубоком анализе эксплойта специалисты Project Zero заявили, что ForcedEntry использует атаку с нулевым щелчком, что означает, что жертве не нужно открывать ссылку или предоставлять разрешение. Взлом обошел защиту Apple iOS с нулевым щелчком и, используя Apple iMessage, захватил устройства для установки шпионского ПО Pegasus.
ForcedEntry использовал способ, которым iMessage принимал и интерпретировал файлы, такие как GIF, чтобы обмануть платформу и заставить ее открыть вредоносный файл PDF без какого-либо участия пользователя. Эксплойт использовал слабое место в старой технологии сжатия, разработанной для создания сжатых файлов PDF при сканировании документа с помощью физического сканера. Эта же технология до сих пор используется компьютерами.
ForcedEntry использует сценарий, состоящий из логических команд, записанных непосредственно в файл PDF с маской. Это позволяет ему организовать и запустить всю атаку, скрываясь в iMessage, что еще больше затрудняет поиск. Тот факт, что ForcedEntry использует такую технологию, делает ее уникальной, поскольку многие подобные атаки должны использовать так называемый командно-управляющий сервер для передачи инструкций вредоносной программе.
Анализ Project Zero важен не только потому, что он раскрывает детали того, как работает ForcedEntry, но и потому, что показывает, насколкьо впечатляющими и опасными могут быть программы частной разработки. Старший научный сотрудник Citizen Lab Джон Скотт-Рейлтон
Напомним, в конце ноября компания Apple подала иск против израильской NSO Group и ее материнской компании, чтобы привлечь их к ответственности за слежку и преследование пользователей Apple. В иске содержится новая информация о том, как NSO Group заразила устройства жертв своим шпионским ПО Pegasus.