Group IB

Одна из разработок NSO Group оказалась «элитным» шпионским инструментом

16.12.2021
Одна из разработок NSO Group оказалась «элитным» шпионским инструментом
Исследователи в области кибербезопасности из Google Project Zero провели анализ вредоносного ПО FORCEDENTRY, разработанного израильской компанией NSO Group. ПО позволяло злоумышленникам взламывать устройства Apple без ведома владельца и устанавливать шпионское ПО Pegasus, сообщает SecurityLab.

Исследователи пришли к выводу, что это «один из наиболее технически сложных эксплоитов», который они когда-либо видели. Инструмент конкурирует с ресурсами, «которые ранее считались доступными лишь небольшому количеству государств».

Предыдущие версии программного обеспечения Pegasus требовали от жертвы нажать на ссылку в SMS-сообщении. Но FORCEDENTRY – эксплоит zero-click. Для установки вредоносного ПО жертве не нужно нажимать на ссылку в сообщении или даже читать его. По словам экспертов, это оружие, от которого нет защиты.

FORCEDENTRY использовало уязвимость в службе Apple iMessage SMS, связанной с обработкой файлов изображений в формате GIF. Эксплуатация проблемы позволяла загружать и открывать вредоносный PDF-файл без ведома цели, предоставляя злоумышленнику доступ к данным в других областях устройства.

iMessage имеет встроенную поддержку изображений GIF. Apple хотела, чтобы эти GIF-файлы повторялись бесконечно, а не воспроизводились только один раз, поэтому в конвейере синтаксического анализа и обработки iMessage (после получения сообщения, но задолго до его отображения) вызывает метод в процессе IMTranscoderAgent (вне песочницы BlastDoor), передавая любой полученный файл изображения с расширением .gif: [IMGIFUtils copyGifFromPath:toDestinationPath:error].

Служба использует API CoreGraphics для рендеринга исходного изображения в новый файл GIF по пути назначения. И то, что имя исходного файла должно заканчиваться на .gif, не означает, что это действительно GIF-файл. Библиотека ImageIO используется для угадывания правильного формата исходного файла и его анализа, полностью игнорируя расширение файла. Используя этот трюк с «поддельными гифками», более 20 кодеков изображений внезапно стали частью поверхности атаки iMessage zero-click, включая некоторые очень непонятные и сложные форматы.

Apple ограничила форматы ImageIO, доступные из IMTranscoderAgent, начиная с версии iOS 14.8.1 (дата выпуска 26 октября 2021 года), и полностью удалила путь кода GIF из IMTranscoderAgent, начиная с версии iOS 15.0 (дата выпуска 20 сентября 2021 года), и декодирование GIF происходит полностью внутри BlastDoor.