Обнаружен новый связанный с NSO Group эксплоит zero-click
26/08/21
В своем новом отчете эксперты исследовательского центра Citizen Lab Университета Торонто рассказали о ранее неизвестной уязвимости в iOS, проэксплуатировать которую можно с помощью всего лишь одного нажатия. Согласно отчету, с февраля 2021 года уязвимость использовалась в атаках на нескольких активистов и диссидентов в Бахрейне.
Эксперты связали новый эксплоит с израильским производителем коммерческого шпионского ПО NSO Group, который в последнее время регулярно упоминается в СМИ в связи со слежкой за активистами и журналистами.
FORCEDENTRY является одной из нескольких уязвимостей, эксплуатировавшихся для заражения устройств инструментом для слежения Pegasus от NSO Group. По словам специалистов, FORCEDENTRY использовалась в более широкой хакерской кампании, начавшейся в июле 2021 года и затронувшей как минимум девять бахрейнских активистов.
«Как минимум четыре активиста были атакованы LULU – оператором Pegasus, которого можно с большой уверенностью отнести к правительству Бахрейна, известного своими злоупотреблениями шпионским ПО», – сообщается в отчете.
В данной хакерской кампании FORCEDENTRY не была главной эксплуатирующейся уязвимостью. Атака осуществлялась в три этапа, и похоже, что эксплоит для FORCEDENTRY был разработан ранее в нынешнем году для обхода новых функций, представленные Apple в iOS 14.
В настоящее время подробности об уязвимости iMessage, эксплуатировавшейся FORCEDENTRY, не раскрываются, в основном из-за того, что она еще не исправлена. На данный момент об уязвимости известно следующее:
FORCEDENTRY – эксплоит в один клик (zero-click). То есть, всего лишь получив от злоумышленника вредоносного сообщение в iMessage, жертва может заразить свой iPhone вредоносным ПО. То есть, не нужно нажимать на ссылку в сообщении или даже читать его;
FORCEDENTRY может обходить BlastDoor – новую функцию безопасности, тайно добавленную Apple в iOS 14 в прошлом году. Она работает путем помещения некоторых элементов iMessage в песочницу с целью изоляции получаемого в сообщениях вредоносного кода от взаимодействия с ОС;
FORCEDENTRY использовался в атаках на версии iOS 14.4 и 14.6, однако эксплоит также может работать и на текущих версиях iOS;
FORCEDENTRY также использовался в атаках на пользователей во Франции и Индии.