AppsecZone

Одна из разработок NSO Group оказалась «элитным» шпионским инструментом

Одна из разработок NSO Group оказалась «элитным» шпионским инструментом Одна из разработок NSO Group оказалась «элитным» шпионским инструментом Одна из разработок NSO Group оказалась «элитным» шпионским инструментом
16.12.2021
Исследователи в области кибербезопасности из Google Project Zero провели анализ вредоносного ПО FORCEDENTRY, разработанного израильской компанией NSO Group. ПО позволяло злоумышленникам взламывать устройства Apple без ведома владельца и устанавливать шпионское ПО Pegasus, сообщает SecurityLab.

Исследователи пришли к выводу, что это «один из наиболее технически сложных эксплоитов», который они когда-либо видели. Инструмент конкурирует с ресурсами, «которые ранее считались доступными лишь небольшому количеству государств».

Предыдущие версии программного обеспечения Pegasus требовали от жертвы нажать на ссылку в SMS-сообщении. Но FORCEDENTRY – эксплоит zero-click. Для установки вредоносного ПО жертве не нужно нажимать на ссылку в сообщении или даже читать его. По словам экспертов, это оружие, от которого нет защиты.

FORCEDENTRY использовало уязвимость в службе Apple iMessage SMS, связанной с обработкой файлов изображений в формате GIF. Эксплуатация проблемы позволяла загружать и открывать вредоносный PDF-файл без ведома цели, предоставляя злоумышленнику доступ к данным в других областях устройства.

iMessage имеет встроенную поддержку изображений GIF. Apple хотела, чтобы эти GIF-файлы повторялись бесконечно, а не воспроизводились только один раз, поэтому в конвейере синтаксического анализа и обработки iMessage (после получения сообщения, но задолго до его отображения) вызывает метод в процессе IMTranscoderAgent (вне песочницы BlastDoor), передавая любой полученный файл изображения с расширением .gif: [IMGIFUtils copyGifFromPath:toDestinationPath:error].

Служба использует API CoreGraphics для рендеринга исходного изображения в новый файл GIF по пути назначения. И то, что имя исходного файла должно заканчиваться на .gif, не означает, что это действительно GIF-файл. Библиотека ImageIO используется для угадывания правильного формата исходного файла и его анализа, полностью игнорируя расширение файла. Используя этот трюк с «поддельными гифками», более 20 кодеков изображений внезапно стали частью поверхности атаки iMessage zero-click, включая некоторые очень непонятные и сложные форматы.

Apple ограничила форматы ImageIO, доступные из IMTranscoderAgent, начиная с версии iOS 14.8.1 (дата выпуска 26 октября 2021 года), и полностью удалила путь кода GIF из IMTranscoderAgent, начиная с версии iOS 15.0 (дата выпуска 20 сентября 2021 года), и декодирование GIF происходит полностью внутри BlastDoor.

Комментарии 0


Назад