iOS 9.3.5: исправления безопасности и неудачная атака против правозащитника из Арабских эмиратов

Как сообщает Citizen Lab, её сотрудникам совместно с Lookout Security удалось исследовать попытку установления слежки за правозащитником из Арабских эмиратов Ахмедом Мансуром, для которой были использованы две уязвимости в ядре iOS и одна в WebKit. 10–11 августа он получил SMS-сообщение, в котором предлагалось перейти по ссылке, чтобы получить информацию о пленниках, пытаемых в тюрмах ОАЭ. Вместо этого, заподозрив неладное, Ахмед обратился к специалистам по информационной безопасности.


Сотрудники компании использовали свой телефон, можно сказать, в качестве ханипота, благодаря чему им удалось проанализировать вредоносное ПО, направленное против Мансура. Следы привели к NSO Group и правительству ОАЭ.


NSO Group

NSO Group — компания, базирующаяся в Израиле. По данным Bloomberg, принадлежит (или принадлежала; существует информация о поиске покупателя с целью продажи за один миллиард долларов) американской ООО Francisco Partners Management, специализирующейся на венчурном капитализме. Один из продуктов NSO Group — шпионское ПО под названием Pegasus, продаваемое различным правительственным организациям.


Сооснователи NSO Group также причастны к компании Kaymera, предлагающей услуги по защите информации. Вебсайт этой организации содержит копию статьи Bloomberg, сообщающей об игре по обе стороны кибервойн.


Pegasus

Известно, что одним из векторов атаки для последующей установки Pegasus являются SMS-сообщения. Жертва переходит по ссылке на так называемый «анонимизатор», который соединяется с сервером установки, выдающим соответствующий эксплоит по юзер-агенту.


Для атаки против Ахмеда использовались три уязвимости под общим названием Trident. Одна из них позволяет выполнить вредоносный код через WebKit. Затем для получения необходимых привилегий эксплуатируются ошибки в коде ядра XNU.


Фрагмент из рассылки Apple:

iOS 9.3.5 is now available and addresses the following:

Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to disclose kernel memory
Description: A validation issue was addressed through improved input sanitization.
CVE-2016–4655: Citizen Lab and Lookout

Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to execute arbitrary code with kernel privileges
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016–4656: Citizen Lab and Lookout

WebKit
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: Visiting a maliciously crafted website may lead to arbitrary code execution
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016–4657: Citizen Lab and Lookout


Pegasus включает в себя фреймворк Cydia Substrate, который используется для внедрения в различные приложения, в том числе iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram, Skype, Line, KakaoTalk, WeChat, Surespot, Imo.im, Mail.Ru, Tango, VK, и Одноклассники. Также считываются календари, контакты и пароли.

Зловред способен общаться с сервером управления через HTTPS и SMS.


Заключение

По мнению Citizen Lab, атака крайне утончённая и редкая. Подобные эксплоиты могут стоить от нескольких сотен тысяч вплоть до миллиона долларов. Apple сразу же откликнулась и решила проблему примерно за 10 дней, выпустив версию 9.3.5.


Это далеко не первый случай преследования активистов со стороны репрессивных режимов. Очевидно, что компании, пособляющие им, ценят деньги больше, чем человеческие жизни. Стоит заметить, что в Израиле для экспорта шпионского ПО необходимо получить специальную лицензию. Следовательно, если NSO Group подавала заявку и не получила отказа, то выходит, что червивы люди не только в их офисах, но и в правительственных.

Комментарии (0)

© Habrahabr.ru