Liam Tung Bidragyder
Liam Tung er en australsk forretningsteknologijournalist, der bor et par for mange svenske mil nord for Stockholm til hans smag. Han tog en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hackede sig (uden nordisk eller ondsindet kode for den sags skyld) sig ind i en karriere som enterprise tech-, sikkerheds- og telekommunikationsjournalist hos ZDNet Australia.
Fuld bio den 16. december 2021 | Emne: Sikkerhed 
Google har forklaret, hvordan overvågningsfirmaet NSO Group udviklede en udnyttelse, der ville give brugere af dets software mulighed for at få adgang til en iPhone og installer spyware – uden at et mål nogensinde klikker på et link.
I sidste måned føjede det amerikanske handelsministerium NSO Group til sin “entitetsliste” og forbød det stort set fra amerikanske markeder på grund af beviser, at det leverede spyware til udenlandske regeringer, der brugte det til at målrette embedsmænd, journalister, forretningsfolk, aktivister, akademikere, og ambassadearbejdere. I slutningen af november anmodede Apple om et permanent forbud, der forbyder NSO at bruge nogen af dets software, tjenester eller enheder.
Nu har Googles Project Zero (GPZ) analyseret en relativt ny NSO 'zero-click'-udnyttelse til iOS 14.7.1 og tidligere og anset det som “en af de mest teknisk sofistikerede udnyttelser, vi nogensinde har set”.
< p>SE: Denne mystiske malware kan true millioner af routere og IoT-enheder
GPZ's Ian Beer og Samuel Groß beskrev NSO's udnyttelse som både “utrolig” og “skrækkende”. Udnyttelsen skaber et “mærkeligt” emuleret computermiljø i en komponent af iOS, der håndterer GIF'er, men som normalt ikke understøtter script-funktioner. Denne udnyttelse giver dog en angriber mulighed for at køre JavaScript-lignende kode i den komponent for at skrive til vilkårlige hukommelsesplaceringer – og eksternt hacke en iPhone.
Sikkerhedsforskere ved det Canada-baserede Citizen Lab rapporterede fejlen til Apple som en del af deres fælles forskning med Amnesty International i NSO's Pegasus mobile spyware-pakke, som kan installeres efter brug af en udnyttelse, der jailbreaker en iPhone.< /p>
Apple rettede hukommelseskorruptionsfejlen, sporet som CVE-2021-30860, i CoreGraphics-komponenten i iOS 14.8 i september.
Citizen Lab delte også en prøve af NSO's iMessage-baserede nul-klik udnyttelse, som GPZ-forskere kunne analysere. Angrebet udnytter den kode, iMessage bruger til at understøtte GIF-billeder.
GPZ's Beer og Groß sagde, at det viste “de kapaciteter, som NSO leverer rivaliserende med dem, der tidligere menes at være tilgængelige for kun en håndfuld nationalstater”.
Det første indgangspunkt for Pegasus på iPhone er iMessage. Det betyder, at et offer kan blive målrettet blot ved at bruge deres telefonnummer eller AppleID-brugernavn, noterer rapporten. Selv avancerede brugere, der ved ikke at klikke på links, kan blive kompromitteret.
Svagheden iMessage afslørede kommer via ekstra funktioner, som Apple har aktiveret til GIF-billeder. Apple bruger et “falsk gif”-trick” i iOS's ImageIO-bibliotek for at få normale GIF-billeder til at løkke uendeligt. Dette trick introducerer også tilfældigvis over 20 ekstra billedcodecs, hvilket giver angribere en meget større overflade at angribe.
“NSO bruger “falske gif”-tricket til at målrette mod en sårbarhed i CoreGraphics PDF-parseren,” forklarer Beer og Groß.
PDF-parseren er et interessant mål. PDF var historisk set et populært mål for udnyttelse, fordi det var kompleks software, og alle brugte det. Også Javascript i PDF'er gjorde det nemmere at udnytte, forklarer de.
Som GPZ-forskerne bemærker: “CoreGraphics PDF-parseren ser ikke ud til at fortolke javascript, men NSO formåede at finde noget lige så stærkt inde i CoreGraphics PDF-parseren…”
NSO fandt det kraftfulde værktøj i Apples brug af JBIG2-standarden til at komprimere og dekomprimere billeder. Standarden blev oprindeligt brugt i gamle Xerox-scannere til effektivt at omdanne billeder fra papir til PDF-filer på blot et par kilobyte i størrelse.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Blandt flere snedige tricks, som NSO udviklede, var den emulerede computerarkitektur, der var afhængig af JBIG2-delen af Apples CoreGraphics PDF-parser. Det emulerede computermiljø gjorde det muligt for dem at skrive til vilkårlige hukommelsesadresser med et scriptsprog, der ikke er ulig JavaScript, på trods af at JBIG2 mangler scriptingmuligheder.
“JBIG2 har ikke script-egenskaber, men kombineret med en sårbarhed har den evnen til at efterligne kredsløb af vilkårlige logiske porte, der opererer på vilkårlig hukommelse,” forklarer Beer og Groß.
“Så hvorfor ikke bare bruge det til at bygge din egen computerarkitektur og script det!? Det er præcis, hvad denne udnyttelse gør. Ved at bruge over 70.000 segmentkommandoer, der definerer logiske bitoperationer, definerer de en lille computerarkitektur med funktioner såsom registre og hele 64 -bit adder og komparator, som de bruger til at søge i hukommelse og udføre aritmetiske operationer. Det er ikke så hurtigt som Javascript, men det er grundlæggende beregningsmæssigt ækvivalent.
“Opstartsoperationerne for sandbox escape exploit er skrevet til at køre på dette logiske kredsløb og det hele kører i dette mærkelige, emulerede miljø skabt ud fra et enkelt dekompressionspas gennem en JBIG2-strøm. Det er ret utroligt, og på samme tid ret skræmmende.”
Sikkerhed
Log4j-trussel: Hvad du behøver at vide, og hvordan du beskytter dig selv Ransomware i 2022: Vi' Microsoft Patch Tuesday: Zero-day udnyttet til at sprede Emotet malware Kronos ramt med ransomware, advarer om databrud og “flere ugers” udfald De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Security TV | Data Management | CXO | Datacentre