Pull to refresh

iOS 9.3.5: исправления безопасности и неудачная атака против правозащитника из Арабских эмиратов

Information Security

Как сообщает Citizen Lab, её сотрудникам совместно с Lookout Security удалось исследовать попытку установления слежки за правозащитником из Арабских эмиратов Ахмедом Мансуром, для которой были использованы две уязвимости в ядре iOS и одна в WebKit. 10-11 августа он получил SMS-сообщение, в котором предлагалось перейти по ссылке, чтобы получить информацию о пленниках, пытаемых в тюрмах ОАЭ. Вместо этого, заподозрив неладное, Ахмед обратился к специалистам по информационной безопасности.


Сотрудники компании использовали свой телефон, можно сказать, в качестве ханипота, благодаря чему им удалось проанализировать вредоносное ПО, направленное против Мансура. Следы привели к NSO Group и правительству ОАЭ.


NSO Group


NSO Group – компания, базирующаяся в Израиле. По данным Bloomberg, принадлежит (или принадлежала; существует информация о поиске покупателя с целью продажи за один миллиард долларов) американской ООО Francisco Partners Management, специализирующейся на венчурном капитализме. Один из продуктов NSO Group – шпионское ПО под названием Pegasus, продаваемое различным правительственным организациям.


Сооснователи NSO Group также причастны к компании Kaymera, предлагающей услуги по защите информации. Вебсайт этой организации содержит копию статьи Bloomberg, сообщающей об игре по обе стороны кибервойн.


Pegasus


Известно, что одним из векторов атаки для последующей установки Pegasus являются SMS-сообщения. Жертва переходит по ссылке на так называемый "анонимизатор", который соединяется с сервером установки, выдающим соответствующий эксплоит по юзер-агенту.


Для атаки против Ахмеда использовались три уязвимости под общим названием Trident. Одна из них позволяет выполнить вредоносный код через WebKit. Затем для получения необходимых привилегий эксплуатируются ошибки в коде ядра XNU.


Фрагмент из рассылки Apple:

iOS 9.3.5 is now available and addresses the following:

Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to disclose kernel memory
Description: A validation issue was addressed through improved input sanitization.
CVE-2016-4655: Citizen Lab and Lookout

Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to execute arbitrary code with kernel privileges
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4656: Citizen Lab and Lookout

WebKit
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: Visiting a maliciously crafted website may lead to arbitrary code execution
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4657: Citizen Lab and Lookout

Pegasus включает в себя фреймворк Cydia Substrate, который используется для внедрения в различные приложения, в том числе iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram, Skype, Line, KakaoTalk, WeChat, Surespot, Imo.im, Mail.Ru, Tango, VK, и Одноклассники. Также считываются календари, контакты и пароли.


Зловред способен общаться с сервером управления через HTTPS и SMS.


Заключение


По мнению Citizen Lab, атака крайне утончённая и редкая. Подобные эксплоиты могут стоить от нескольких сотен тысяч вплоть до миллиона долларов. Apple сразу же откликнулась и решила проблему примерно за 10 дней, выпустив версию 9.3.5.


Это далеко не первый случай преследования активистов со стороны репрессивных режимов. Очевидно, что компании, пособляющие им, ценят деньги больше, чем человеческие жизни. Стоит заметить, что в Израиле для экспорта шпионского ПО необходимо получить специальную лицензию. Следовательно, если NSO Group подавала заявку и не получила отказа, то выходит, что червивы люди не только в их офисах, но и в правительственных.

Tags:appleios
Hubs: Information Security
Total votes 25: ↑24 and ↓1 +23
Views16.3K

Popular right now

iOS developer
from 200,000 to 300,000 ₽anonym.networkRemote job
IOS разработчик
from 140,000 to 180,000 ₽MobecanRemote job
IOS разработчик
from 140,000 to 270,000 ₽ENJOY PRORemote job
Senior/Middle iOS Developer
from 200,000 ₽FunCorpМосква
iOS Developer
from 250,000 to 350,000 ₽AvatarifyМоскваRemote job