Zero-click iMessage zero-day utilizzato per hackerare gli iPhone di 36 giornalisti

0
73

Tre dozzine di giornalisti hanno subito hackerati i loro iPhone a luglio e agosto usando quello che all'epoca era un exploit zero-day di iMessage che non richiedeva alle vittime di intraprendere alcuna azione per essere infettati, hanno detto i ricercatori.

L'exploit e il payload installato sono stati sviluppati e venduti da NSO Group, secondo un rapporto pubblicato domenica da Citizen Lab, un gruppo dell'Università di Toronto che ricerca ed espone hack su dissidenti e giornalisti. NSO è un produttore di strumenti di hacking offensivi che è stato criticato negli ultimi anni per aver venduto i suoi prodotti a gruppi e governi con scarsi risultati in materia di diritti umani. NSO ha contestato alcune delle conclusioni del rapporto Citizen Lab.

Gli attacchi hanno infettato i telefoni degli obiettivi con Pegasus, un impianto realizzato da NSO sia per iOS che per Android che ha una gamma completa di funzionalità, inclusa la registrazione di audio ambientale e conversazioni telefoniche, scattare foto e accedere a password e credenziali archiviate. Gli hack hanno sfruttato una vulnerabilità critica nell'app iMessage di cui i ricercatori Apple non erano a conoscenza in quel momento. Da allora Apple ha risolto il bug con il lancio di iOS 14.

Più successo, più nascosto

Negli ultimi anni, gli exploit NSO non hanno richiesto sempre più alcuna interazione da parte dell'utente, come visitare un sito Web dannoso o installare un'app dannosa, per funzionare. Uno dei motivi per cui questi cosiddetti attacchi zero-click sono efficaci è che hanno una probabilità di successo molto più elevata, poiché possono colpire obiettivi anche quando le vittime hanno una formazione considerevole per prevenire tali attacchi.

Nel 2019, sostiene Facebook, gli aggressori hanno sfruttato una vulnerabilità nel messenger WhatsApp dell'azienda per prendere di mira 1.400 iPhone e dispositivi Android con Pegasus. Sia Facebook che ricercatori esterni hanno affermato che l'exploit ha funzionato semplicemente chiamando un dispositivo mirato. Non era necessario che l'utente avesse risposto al dispositivo e, una volta infettato, gli aggressori potevano cancellare tutti i registri che mostravano che era stato effettuato un tentativo di chiamata.

Un altro vantaggio chiave degli exploit zero-clic è che sono molto più difficili da monitorare per i ricercatori in seguito.

Annuncio pubblicitario

"L'attuale tendenza verso vettori di infezione zero-click e capacità anti-forensi più sofisticate fa parte di un più ampio spostamento a livello di settore verso mezzi di sorveglianza più sofisticati e meno rilevabili", i ricercatori di Citizen Lab Bill Marczak, John Scott-Railton, Noura Al -Scrivono Jizawi, Siena Anstis e Ron Deibert. "Sebbene si tratti di un'evoluzione tecnologica prevedibile, aumenta le sfide tecnologiche che devono affrontare sia gli amministratori di rete che gli investigatori".

Altrove nel rapporto, gli autori hanno scritto:

Più recentemente, NSO Group si sta spostando verso exploit zero-click e attacchi basati sulla rete che consentono ai suoi clienti governativi di entrare nei telefoni senza alcuna interazione da parte del bersaglio e senza lasciare tracce visibili. La violazione di WhatsApp del 2019, in cui almeno 1.400 telefoni sono stati presi di mira tramite un exploit inviato tramite una chiamata vocale persa, è un esempio di tale cambiamento. Fortunatamente, in questo caso, WhatsApp ha notificato gli obiettivi. Tuttavia, è più difficile per i ricercatori tenere traccia di questi attacchi senza clic perché gli obiettivi potrebbero non notare nulla di sospetto sul proprio telefono. Anche se osservano un comportamento di chiamata "strano", l'evento può essere transitorio e non lasciare tracce sul dispositivo.

Il passaggio agli attacchi zero-click da parte di un settore e di clienti già immersi nella segretezza aumenta la probabilità che gli abusi non vengano rilevati. Tuttavia, continuiamo a sviluppare nuovi mezzi tecnici per monitorare gli abusi di sorveglianza, come nuove tecniche di analisi della rete e dei dispositivi.

Citizen Lab ha affermato di aver concluso con media fiducia che alcuni degli attacchi che ha scoperto sono stati sostenuti dal governo degli Emirati Arabi Uniti e altri attacchi dal governo dell'Arabia Saudita. I ricercatori hanno detto di sospettare che le 36 vittime identificate – inclusi 35 giornalisti, produttori, conduttori e dirigenti di Al-Jazeera e un giornalista di Al Araby TV – siano solo una piccola parte delle persone prese di mira nella campagna.

NSO risponde

In una dichiarazione, un portavoce della NSO ha scritto:

Questo promemoria si basa, ancora una volta, su speculazioni e manca di prove a sostegno di una connessione con NSO. Invece si basa su ipotesi fatte esclusivamente per adattarsi all'agenda di Citizen Lab.

NSO fornisce prodotti che consentono alle forze dell'ordine governative di affrontare solo la criminalità organizzata grave e l'antiterrorismo e, come affermato in passato, non li gestiamo.
Tuttavia, quando riceviamo prove credibili di uso improprio con informazioni sufficienti che possono consentirci di valutare tale credibilità, adottiamo tutte le misure necessarie in conformità con la nostra procedura di indagine al fine di esaminare le accuse.

A differenza di Citizen Lab, che ha solo una "media fiducia" nel proprio lavoro, SAPPIAMO che la nostra tecnologia ha salvato la vita di persone innocenti in tutto il mondo.

Ci chiediamo se Citizen Lab capisca che, perseguendo questo programma, stanno fornendo ad attori aziendali irresponsabili, terroristi, pedofili e boss dei cartelli della droga un playbook su come evitare le forze dell'ordine.

NSO, nel frattempo, continuerà a lavorare instancabilmente per rendere il mondo un posto più sicuro.

Come notato in precedenza, gli zero-giorni senza clic sono difficili se non impossibili da prevenire anche dagli utenti con una formazione approfondita sulla sicurezza. Per quanto potenti siano questi exploit, il loro costo elevato e la difficoltà di procurarli significa che vengono utilizzati solo contro una piccola popolazione di persone. Ciò significa che è improbabile che la stragrande maggioranza degli utenti di dispositivi mobili venga mai presa di mira da questi tipi di attacchi.

Annuncio pubblicitario

In una dichiarazione, i rappresentanti di Apple hanno scritto: "In Apple, i nostri team lavorano instancabilmente per rafforzare la sicurezza dei dati e dei dispositivi dei nostri utenti. iOS 14 rappresenta un importante balzo in avanti nella sicurezza e offre nuove protezioni contro questi tipi di attacchi. L'attacco descritto nella ricerca è stato altamente mirato dagli stati-nazione contro individui specifici. Invitiamo sempre i clienti a scaricare l'ultima versione del software per proteggere se stessi e i propri dati ".

Un portavoce di Apple ha affermato che la società non è stata in grado di verificare in modo indipendente i risultati di Citizen Lab.

I ricercatori devono ancora determinare la precisa vulnerabilità iOS utilizzata in questi attacchi, ma Citizen Lab afferma che gli exploit non funzionano contro iOS 14, che è stato rilasciato a settembre. Chiunque utilizzi ancora una versione precedente dovrebbe eseguire l'aggiornamento.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui