Исследователи Project Zero: Pegasus использует iMessage с нулевым щелчком, «один из самых технически сложных эксплойтов за всю историю»

Проверьте свой iPhone на наличие Pegasus, если вы действительно думаете, что вам нужно

В прошлом месяце Apple объявила, что подала иск против NSO Group, компании, создавшей передовое шпионское ПО Pegasus, нацеленное на устройства iPhone и Android. Теперь исследователи из Google Project Zero подробно изучили Pegasus, назвав его «одним из самых технически сложных эксплойтов, которые мы когда-либо видели».

Шпионское ПО Pegasus может позволить хакерам получить доступ к микрофону, камере и другим конфиденциальным данным пользователей iPhone. В то время как более ранние версии шпионского ПО требовали, чтобы пользователи нажимали ссылку, отправленную через iMessage, эта новейшая версия является эксплойтом с нулевым щелчком. Это означает, что целевым пользователям вообще не нужно щелкать или взаимодействовать с атакой, чтобы она была эффективной.

В интервью Wired Иэн Бир и Сэмюэл Гросс из Project Zeros объяснили:

Мы не видели, чтобы эксплойт в реальных условиях создавал эквивалентные возможности из такой ограниченной отправной точки, без возможности взаимодействия с сервером злоумышленника, без загрузки JavaScript или аналогичного механизма сценариев и т. Д. В сообществе безопасности многие считают такой вид эксплуатации — однократное удаленное выполнение кода — проблема решаемая. Они считают, что масса средств защиты, обеспечиваемых мобильными устройствами, слишком высока для создания надежного одноразового эксплойта. Это демонстрирует, что это не только возможно, но и надежно используется в дикой природе против людей.

Исследователи Project Zero говорят, что это один из самых изощренных эксплойтов, которые когда-либо видели:

Основываясь на наших исследованиях и выводах, мы оцениваем это как один из самых технически сложных эксплойтов, которые мы когда-либо видели, что еще раз демонстрирует, что возможности NSO могут конкурировать с теми, которые ранее считались доступными только для небольшого числа национальных государств.

Вы можете узнать больше о команде Project Zero в сообщении блога на веб-сайте Google Project Zero, а также в этом интервью Wired.

Соцсети