Во взрывоопасном отчете Amnesty International были проанализированы журналы устройств, чтобы выявить масштабы целевых атак вредоносного ПО, которые активно использовались на устройствах Android и iPhone с июля 2014 года и совсем недавно, начиная с июля 2021 года. Зараженные устройства могут тайно передавать сообщения и фотографии, хранящиеся на телефоне, поскольку а также записывать телефонные разговоры и тайно записывать с микрофона. Атака продается израильской фирмой NSO Group как «Пегас».
Хотя компания утверждает, что продает шпионское ПО только в законных целях борьбы с терроризмом, в отчете указывается, что оно фактически использовалось для нападения на правозащитников, юристов и журналистов по всему миру (как многие уже давно подозревали).
Возможно, наиболее тревожным для пользователей iPhone является то, что результаты показывают, что существуют активные эксплойты против iPhone с последней версией программного обеспечения iOS 14.6, в том числе те, которые используют уязвимость с нулевым щелчком в iMessage, которая может устанавливать шпионское ПО без какого-либо взаимодействия с пользователем.
За последние несколько лет программное обеспечение Pegasus адаптировалось, поскольку Apple исправила ошибки безопасности в iOS. Однако каждый раз NSO Group удавалось находить альтернативные ошибки безопасности, которые можно было бы использовать вместо них. В подробном отчете подробно рассказывается о нескольких различных вариантах пегаса, которые использовались в дикой природе.
Записи показывают, что в 2019 году ошибка в Apple Photos позволила злоумышленникам получить контроль над iPhone, возможно, через службу iCloud Photo Stream. После установки эксплойта отчеты о сбоях отключаются, чтобы Apple не могла слишком быстро обнаружить эксплойт, просматривая отправленные журналы отчетов о сбоях.
Также в 2019 году Amnesty заявляет, что в iMessage широко использовался нулевой день с нулевым щелчком. Похоже, хакеры создают специальные учетные записи iCloud, чтобы помочь доставить инфекции. В 2020 году Amnesty обнаружила доказательства, позволяющие предположить, что приложение Apple Music теперь использовалось в качестве вектора атаки.
А быстро перейдя к сегодняшнему дню, Amnesty считает, что шпионское ПО Pegasus в настоящее время доставляется с использованием уязвимости iMessage с нулевым щелчком, которая работает против устройств iPhone и iPad под управлением iOS 14.6. Эксплойт также успешно работает против iPhone под управлением iOS 14.3 и iOS 14.4.
Apple значительно переписала внутреннюю структуру, которая обрабатывает полезные данные iMessage как часть iOS 14, с новой подсистемой BlastDoor, однако явно это не смутило злоумышленников. Остается неизвестным, подвержены ли iOS 14.7, которая будет выпущена для широкой публики на этой неделе, или iOS 15, которая в настоящее время находится в стадии бета-тестирования для разработчиков, одному и тому же эксплойту с нулевым щелчком. Возможно, еще более пугает тот факт, что NSO Group, похоже, более чем способна находить и развертывать новые эксплойты, как только Apple исправляет текущие дыры, о чем свидетельствует пятилетняя история развития векторов атак, о которой сообщает Amnesty.
Ознакомьтесь с публикацией Amnesty International, где подробно описаны все опубликованные доказательства.
