Key takeaways
- Ved at analysere spionskandalen, som Citizen Lab har afsløret, har Googles sikkerhedsforskere opdaget en ny angrebsmekanisme kendt som en nul-klik udnyttelse.
- Traditionelle sikkerhedsværktøjer som antivirus kan ikke forhindre nul-klik udnyttelser.
- Apple har stoppet en, men forskere frygter, at der vil være flere nul-klik-udnyttelser i fremtiden.
At følge bedste praksis for sikkerhed betragtes som en forsigtig fremgangsmåde til at holde enheder som bærbare computere og smartphones sikre, eller det var indtil forskere opdagede et nyt trick, der næsten ikke kan spores.
Da de dissekere den nyligt korrigerede Apple-fejl, der blev brugt til at installere Pegasus-spywaren på specifikke mål, har sikkerhedsforskere fra Googles Project Zero opdaget en innovativ ny angrebsmekanisme, som de har kaldt en "zero-click exploit", at ingen mobil antivirus kan forhindre.
"Hvis du ikke bruger en enhed, er der ingen måde at forhindre udnyttelse ved en 'nul-klik udnyttelse;' det er et våben, som der ikke er noget forsvar imod," hævdede Google Project Zero-ingeniørerne Ian Beer & Samuel Groß i et blogindlæg.
Frankensteins monster
Pegasus-spywaren er udtænkt af NSO Group, et israelsk teknologifirma, der nu er blevet føjet til den amerikanske "Entity List", som i det væsentlige blokerer det fra det amerikanske marked.
"Det er ikke klart, hvad en rimelig forklaring på privatliv er på en mobiltelefon, hvor vi ofte foretager meget personlige opkald på offentlige steder. Men vi forventer bestemt ikke, at nogen lytter med på vores telefon, selvom det er det, Pegasus gør det muligt for folk at gøre det," forklarede Saryu Nayyar, administrerende direktør for cybersikkerhedsfirmaet Gurucul, i en e-mail til Lifewire.
Som slutbrugere bør vi altid være forsigtige med at åbne beskeder fra ukendte eller upålidelige kilder, uanset hvor tillokkende emnet eller beskeden er…
Pegasus-spyware kom i rampelyset i juli 2021, da Amnesty International afslørede, at det blev brugt til at spionere på journalister og menneskerettighedsaktivister verden over.
Dette blev efterfulgt af en afsløring fra forskere ved Citizen Lab i august 2021, efter at de fandt beviser for overvågning på iPhone 12 Pro'er af ni bahrainske aktivister gennem en udnyttelse, der undgik de seneste sikkerhedsbeskyttelser i iOS 14, samlet kendt som BlastDoor.
Faktisk har Apple anlagt en retssag mod NSO-koncernen, der holder den ansvarlig for at omgå iPhone-sikkerhedsmekanismer for at overvåge Apple-brugere via deres Pegasus-spyware.
"Statssponserede aktører som NSO-gruppen bruger millioner af dollars på sofistikerede overvågningsteknologier uden effektiv ansvarlighed. Det skal ændres," sagde Craig Federighi, Apples senior vicepræsident for Software Engineering, i pressemeddelelsen om retssagen.
I det todelte Google Project Zero-indlæg forklarede Beer og Groß, hvordan NSO-gruppen fik Pegasus-spywaren ind på målenes iPhones ved hjælp af nul-klik-angrebsmekanismen, som de beskrev som både utrolig og skræmmende.
En udnyttelse med nul klik er præcis, hvad det lyder som - ofrene behøver ikke at klikke eller trykke på noget for at blive kompromitteret. I stedet kan du blot se en e-mail eller besked med den stødende malware vedhæftet, så den kan installeres på enheden.
Imponerende og farligt
Ifølge forskerne begynder angrebet gennem en uhyggelig besked på iMessage-appen. For at hjælpe os med at nedbryde den ret komplekse angrebsmetodologi, som hackerne har udviklet, fik Lifewire hjælp fra den uafhængige sikkerhedsforsker Devanand Premkumar.
Premkumar forklarede, at iMessage har flere indbyggede mekanismer til at håndtere animerede.gif-filer. En af disse metoder kontrollerer det specifikke filformat ved hjælp af et bibliotek ved navn ImageIO. Hackerne brugte et 'gif-trick' til at udnytte en svaghed i det underliggende supportbibliotek, kaldet CoreGraphics, for at få adgang til mål-iPhone'en.
"Som slutbrugere bør vi altid være forsigtige med at åbne beskeder fra ukendte eller upålidelige kilder, uanset hvor tillokkende emnet eller beskeden er, da det bliver brugt som det primære indgangspunkt til mobiltelefonen, " Premkumar rådgav Lifewire i en e-mail.
Premkumar tilføjede, at den nuværende angrebsmekanisme kun er kendt for at virke på iPhones, da han gennemgik de trin, Apple har taget for at fjerne den nuværende sårbarhed. Men mens det nuværende angreb er blevet indskrænket, har angrebsmekanismen åbnet Pandoras æske.
"Nul-klik-udnyttelser vil ikke dø snart. Der vil blive flere og flere af sådanne nul-klik udnyttelser testet og implementeret mod højprofilerede mål for de følsomme og værdifulde data, som kan udvindes fra sådanne udnyttede brugeres mobiltelefoner," sagde Premkumar.
I mellemtiden har Apple, ud over retssagen mod NSO, besluttet at yde teknisk, trusselsintelligens og teknisk bistand til Citizen Lab-forskerne pro-bono og har lovet at tilbyde den samme assistance til andre organisationer, der udfører kritisk arbejde i dette rum.
Derudover har virksomheden bidraget med 10 millioner dollars, såvel som alle de erstatninger, der blev tildelt fra retssagen for at støtte organisationer, der er involveret i fortalervirksomhed og forskning i cyberovervågningsmisbrug.
