Liam Tung Bidragsgivare
Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för sin smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 16 december 2021 | Ämne: Säkerhet 
Google har förklarat hur övervakningsföretaget NSO Group utvecklade en exploatering som skulle tillåta användare av dess programvara att få tillgång till en iPhone och installera spionprogram – utan att ett mål någonsin ens klickar på en länk.
Förra månaden lade USA:s handelsdepartement till NSO Group till sin “entitetslista” och förbjöd den till stor del från amerikanska marknader på grund av bevis att den levererade spionprogram till utländska regeringar som använde den för att rikta in sig på regeringstjänstemän, journalister, affärsmän, aktivister, akademiker, och ambassadpersonal. I slutet av november ansökte Apple om ett permanent föreläggande som förbjöd NSO att använda någon av dess programvara, tjänster eller enheter.
Nu har Googles Project Zero (GPZ) analyserat en relativt ny NSO “zero-click”-exploatering för iOS 14.7.1 och tidigare, och ansett att det är “en av de mest tekniskt sofistikerade bedrifterna vi någonsin har sett”.
< p>SE: Denna mystiska skadliga programvara kan hota miljontals routrar och IoT-enheter
GPZ:s Ian Beer och Samuel Groß beskrev NSO:s bedrift som både “otrolig” och “skrämmande”. Exploateringen skapar en “konstig” emulerad datormiljö i en komponent av iOS som hanterar GIF-filer men som normalt inte stöder skriptfunktioner. Denna exploatering tillåter dock en angripare att köra JavaScript-liknande kod i den komponenten för att skriva till godtyckliga minnesplatser – och på distans hacka en iPhone.
Säkerhetsforskare vid det kanadensiska Citizen Lab rapporterade felet till Apple som en del av deras gemensamma forskning med Amnesty International om NSO:s mobila spionprogramspaket Pegasus, som kan installeras efter att ha använt en exploatering som jailbreakar en iPhone.< /p>
Apple korrigerade minneskorruptionsfelet, spårat som CVE-2021-30860, i CoreGraphics-komponenten i iOS 14.8 i september.
Citizen Lab delade också ett urval av NSO:s iMessage-baserade zero-click-exploatering för GPZ-forskare att analysera. Attacken utnyttjar koden iMessage använder för att stödja GIF-bilder.
GPZ:s Beer och Groß sa att det visade “kapaciteten som NSO tillhandahåller rivaliserande de som tidigare troddes vara tillgängliga för endast en handfull nationalstater”.
Den första ingångspunkten för Pegasus på iPhone är iMessage. Detta innebär att ett offer kan bli föremål för att bara använda sitt telefonnummer eller AppleID-användarnamn, konstaterar rapporten. Även avancerade användare som vet att inte klicka på länkar kan äventyras.
Svagheten iMessage avslöjat kommer via extra funktioner som Apple aktiverat för GIF-bilder. Apple använder ett “falskt gif”-trick” i iOS:s ImageIO-bibliotek för att få vanliga GIF-bilder att loopa oändligt. Det tricket råkar också introducera över 20 ytterligare bildcodecs, vilket ger angripare en mycket större yta att attackera.
“NSO använder “falska gif”-tricket för att rikta in sig på en sårbarhet i CoreGraphics PDF-parser, förklarar Beer och Groß.
PDF-parsern är ett intressant mål. PDF var historiskt ett populärt mål för exploatering eftersom det var komplex programvara och alla använde den. Dessutom gjorde Javascript i PDF-filer det lättare att utnyttja, förklarar de.
Som GPZ-forskarna noterar: “CoreGraphics PDF-tolkare verkar inte tolka javascript, men NSO lyckades hitta något lika kraftfullt inuti CoreGraphics PDF-parser…”
NSO fann det kraftfulla verktyget i Apples användning av JBIG2-standarden för att komprimera och dekomprimera bilder. Standarden användes ursprungligen i gamla Xerox-skannrar för att effektivt omvandla bilder från papper till PDF-filer på bara några kilobyte stora.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Bland flera listiga knep som NSO utvecklade var den emulerade datorarkitekturen som förlitade sig på JBIG2-delen av Apples CoreGraphics PDF-parser. Den emulerade datormiljön gjorde det möjligt för dem att skriva till godtyckliga minnesadresser med ett skriptspråk som inte liknar JavaScript, trots att JBIG2 saknar skriptfunktioner.
“JBIG2 har inga skriptfunktioner, men i kombination med en sårbarhet har den förmågan att emulera kretsar av godtyckliga logiska grindar som arbetar på godtyckligt minne”, förklarar Beer och Groß.
“Så varför inte bara använda det för att bygga din egen datorarkitektur och skripta det!? Det är precis vad den här exploateringen gör. Genom att använda över 70 000 segmentkommandon som definierar logiska bitoperationer, definierar de en liten datorarkitektur med funktioner som register och hela 64 -bit adder och komparator som de använder för att söka i minnet och utföra aritmetiska operationer. Det är inte lika snabbt som Javascript, men det är i grunden beräkningsmässigt likvärdigt.
“Startoperationerna för sandbox escape exploit är skrivna för att köras på den här logiska kretsen och det hela körs i den här konstiga, emulerade miljön skapad av ett enda dekompressionspass genom en JBIG2-ström. Det är ganska otroligt, och samtidigt ganska skrämmande.”
Säkerhet
Log4j-hot: Vad du behöver veta och hur du skyddar dig själv Ransomware 2022: We' re all screwed Microsoft Patch Tuesday: Zero-day utnyttjas för att sprida Emotet malware Kronos drabbades av ransomware, varnar för dataintrång och “flera veckors” avbrott De bästa VPN:erna för små och hembaserade företag 2021 Security TV | Data Management | CXO | Datacenter