Apple heeft een dringende beveiligingsupdate uitgebracht voor Mac-, iPhone-, iPad- en Watch-gebruikers nadat onderzoekers van Citizen Lab een zero-day, zero-click exploit ontdekten van spywarebedrijf NSO Group dat aanvallers volledige toegang geeft tot de camera, microfoon en berichten van een apparaat , sms'jes, e-mails, telefoontjes en meer.
Citizen Lab zei in een rapport dat de kwetsbaarheid — getagd als CVE-2021-30860 — alle iPhones treft met iOS-versies ouder dan 14.8, alle Mac-computers met besturingssysteemversies ouder dan OSX Big Sur 11.6, beveiligingsupdate 2021-005 Catalina en alle Apple Watches voorafgaand aan watchOS 7.6.2.
Apple voegde toe dat het van invloed is op alle iPad Pro-modellen, iPad Air 2 en hoger, iPad 5e generatie en hoger, iPad mini 4 en hoger en iPod touch 7e generatie.
Met CVE-2021-30860 kunnen opdrachten worden uitgevoerd wanneer bestanden op bepaalde apparaten worden geopend. Citizen Lab merkte op dat het beveiligingslek hackers toegang zou geven zonder dat het slachtoffer ook maar iets zou klikken. Citizen Lab toonde eerder aan dat repressieve regeringen in Bahrein, Saoedi-Arabië en meer NSO Group-tools hadden gebruikt om regeringscritici, activisten en politieke tegenstanders op te sporen.
Ivan Krstić, hoofd van Apple Security Engineering and Architecture, vertelde ZDNet dat na het identificeren van de kwetsbaarheid die door deze exploit voor iMessage wordt gebruikt, Apple “snel een fix in iOS 14.8 heeft ontwikkeld en geïmplementeerd om onze gebruikers te beschermen.”
“We willen Citizen Lab prijzen voor het succesvol voltooien van het zeer moeilijke werk om een monster van deze exploit te verkrijgen, zodat we deze oplossing snel kunnen ontwikkelen. Aanvallen zoals de beschreven zijn zeer geavanceerd, kosten miljoenen dollars om te ontwikkelen, hebben vaak een korte houdbaarheid, en worden gebruikt om specifieke individuen te targeten,” zei Krstić.
“Hoewel dat betekent dat ze geen bedreiging vormen voor de overgrote meerderheid van onze gebruikers, blijven we onvermoeibaar werken om al onze klanten te verdedigen en voegen we voortdurend nieuwe bescherming toe voor hun apparaten en gegevens.”< /p>
John Scott-Railton, senior onderzoeker bij Citizen Lab, sprak zich uit op Twitter om uit te leggen wat hij en Bill Marczak, senior research fellow van Citizen Lab, vonden en rapporteerden aan Apple. Ze ontdekten dat de kwetsbaarheid al sinds minstens februari in gebruik is. Apple heeft ze gecrediteerd met het ontdekken ervan.
“In maart onderzocht mijn collega Bill Marczak de telefoon van een Saoedische activist die besmet was met Pegasus-spyware. Bill maakte destijds een back-up. Een recente heranalyse leverde iets interessants op: raar uitziende '.gif'-bestanden. de '.gif'-bestanden… waren eigenlijk Adobe PSD- en PDF-bestanden… en maakten gebruik van de beeldweergavebibliotheek van Apple. Resultaat? Stille exploitatie via iMessage. Slachtoffer ziet *niets*, ondertussen wordt Pegasus stil geïnstalleerd en wordt hun apparaat een spion in hun zak,” legde Scott-Railton uit.
“NSO Group zegt dat hun spyware alleen bedoeld is om criminelen en terroristen aan te vallen. Maar hier zijn we dan weer: hun exploits zijn door ons ontdekt omdat ze tegen een activist zijn gebruikt. Ontdekking is een onvermijdelijk bijproduct van het verkopen van spyware aan roekeloze despoten. Populair chat-apps zijn de zachte onderbuik van apparaatbeveiliging. Ze staan op elk apparaat en sommige hebben een onnodig groot aanvalsoppervlak. Hun beveiliging moet een *top*prioriteit zijn.”
In een langer rapport over de kwetsbaarheid , zeiden Citizen Lab-onderzoekers dat het de “nieuwste in een reeks van zero-click-exploits is gekoppeld aan NSO Group.”
NSO Group heeft wereldwijd te maken gehad met aanzienlijke terugslag nadat onderzoekers ontdekten dat regeringen, criminelen en anderen zijn Pegasus-spyware gebruikten om stilzwijgend duizenden journalisten, onderzoekers, dissidenten en zelfs wereldleiders op te sporen.
“In 2019 repareerde WhatsApp CVE-2019-3568, een zero-click-kwetsbaarheid in WhatsApp-oproepen die NSO Group gebruikte tegen meer dan 1.400 telefoons in een periode van twee weken waarin het werd waargenomen, en in 2020 gebruikte NSO Group de KISMET zero-click iMessage-exploit”, aldus de onderzoekers.
Ze zeiden dat hun laatste ontdekking “verder illustreert dat bedrijven zoals NSO Group 'despotism-as-a-service' faciliteren voor onverantwoordelijke veiligheidsinstanties van de overheid.”
“Regulering van deze groeiende, zeer winstgevende en schadelijke markt is hard nodig”, voegde ze eraan toe.
Reuters meldde dat sinds de bezorgdheid over de NSO Group eerder dit jaar publiekelijk werd geuit, de FBI en andere overheidsinstanties over de hele wereld een onderzoek naar hun activiteiten hebben geopend. NSO Group is gevestigd in Israël, wat de regering daar ertoe aanzet een eigen onderzoek naar het bedrijf te starten.
Het bedrijf ontwierp tools om specifiek de BlastDoor-verdediging van Apple te omzeilen die in iMessage was geïmplementeerd om gebruikers te beschermen.
Ryan Polk, senior beleidsadviseur bij de Internet Society, vertelde ZDNet dat de Pegasus-NSO-zaak een bewijs is voor de ernstige gevolgen van encryptie-achterdeurtjes.
“De tools die zijn gebouwd om versleutelde communicatie te verbreken, lopen inherent het risico in verkeerde handen te vallen – waardoor iedereen die op versleuteling vertrouwt in groter gevaar komt. Stel je een wereld voor waarin tools zoals Pegasus in elke app of elk apparaat worden ingebouwd – maar in tegenstelling tot nu , hebben bedrijven geen optie om ze te verwijderen en zijn alle gebruikers het doelwit”, zei Polk.
“End-to-end-encryptie houdt iedereen veilig, vooral die uit kwetsbare gemeenschappen, zoals journalisten, activisten en LGBTQ+-gemeenschapsleden in conservatievere landen.”
In 2016 werkte cyberbeveiligingsbedrijf Lookout samen met Citizen Lab om Pegasus te ontdekken. Hank Schless, senior manager van beveiligingsoplossingen bij Lookout, zei dat de tool is blijven evolueren en nieuwe mogelijkheden heeft gekregen.
Het kan nu worden ingezet als een zero-click exploit, wat betekent dat de doelgebruiker niet eens op een kwaadaardige link hoeft te tikken om de surveillanceware te installeren, legde Schless uit, eraan toevoegend dat terwijl de malware zijn leveringsmethoden heeft aangepast, blijft de basis exploitketen hetzelfde.
“Pegasus wordt geleverd via een kwaadaardige link die sociaal is ontworpen naar het doelwit, de kwetsbaarheid wordt uitgebuit en het apparaat wordt gecompromitteerd, waarna de malware terug wordt gecommuniceerd naar een command-and-control (C2) -server die de aanvaller vrij spel geeft over de apparaat. Veel apps maken automatisch een voorbeeld of cache van links om de gebruikerservaring te verbeteren”, aldus Schless.
“Pegasus maakt gebruik van deze functionaliteit om het apparaat stilletjes te infecteren.”
Hij voegde eraan toe dat NSO blijft beweren dat de spyware alleen wordt verkocht aan een handvol inlichtingendiensten in landen die zijn doorgelicht op mensenrechtenschendingen. Maar de recente blootstelling van 50.000 telefoonnummers gekoppeld aan doelen van klanten van de NSO Group was alles wat mensen nodig hadden om door de beweringen van de NSO heen te kijken, voegde hij eraan toe.
“Dit illustreert hoe belangrijk het is voor zowel individuen als zakelijke organisaties om inzicht te hebben in de risico's van hun mobiele apparaten. Pegasus is een extreem, maar gemakkelijk te begrijpen voorbeeld. Er zijn talloze stukjes malware die gemakkelijk misbruik kunnen maken van bekende apparaten en software kwetsbaarheden om toegang te krijgen tot uw meest gevoelige gegevens”, vertelde Schless aan ZDNet.
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Overheid iPhone Hardware Mobiliteit Smartphones Tablets 