image

Google: IMessage-exploit NSO één van de meest geavanceerde ooit gezien

maandag 20 december 2021, 12:19 door Redactie, 3 reacties

Een exploit die werd ontwikkeld door de NSO Group voor een kwetsbaarheid in iMessage en werd gebruikt bij aanvallen tegen activisten, is technisch één van de meest geavanceerde ooit gezien, zo stelt Google. Volgens Google staan de aanvalsmogelijkheden die de NSO Group ontwikkelt gelijk aan die van een handvol statelijke actoren.

De NSO Group ontwikkelt de Pegasus-spyware en levert die inclusief exploits aan klanten. Die kunnen zo hun doelwitten met de spyware infecteren. Via de Pegasus-spyware is het mogelijk om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via allerlei chatapps af te luisteren en onderscheppen. Ook is het mogelijk om de locatie van slachtoffers te achterhalen.

In het verleden maakte de NSO Group verschillende keren gebruik van kwetsbaarheden in iMessage. Daarop ontwikkelde Apple een nieuwe beveiligingstechnologie genaamd BlastDoor. In februari van dit jaar zagen onderzoekers van Citizen Lab dat de NSO Group over een nieuwe zero-click exploit voor iMessage beschikte die de BlastDoor-feature omzeilde.

Deze exploit kreeg de naam ForcedEntry en is als zeroday tegen iOS versie 14.4 en 14.6 ingezet. Alleen het versturen van een speciaal geprepareerd iMessage-bericht was voldoende om iPhones met spyware te infecteren. Google maakte een analyse van de exploit en noemt die "behoorlijk verbluffend, en tegelijkertijd behoorlijk beangstigend."

De exploit maakt misbruik van een kwetsbaarheid in een legacy tool voor het verwerken van tekst in afbeeldingen van een fysieke scanner. Daarnaast wordt er geen gebruikgemaakt van JavaScript en is er ook geen verbinding met een command & control-server van de aanvallers, zoals bij veel andere exploits wel het geval is. ForcedEntry maakt gebruik van een eigen gevirtualiseerde omgeving die binnen iMessage draait.

Volgens John Scott-Railton, onderzoeker van Citizen Lab, laat de analyse van Google zien hoe gevaarlijk commercieel ontwikkelde malware kan zijn. "Dit staat gelijk aan de mogelijkheden van statelijke actoren", aldus Scott-Railton tegenover Wired. Ook hij noemt de exploit zeer geraffineerd en wanneer het door nietsontziende autocraten wordt ingezet "helemaal beangstigend".

"En het doet je afvragen wat erop dit moment nog meer wordt gebruikt en wacht om te worden ontdekt. Als dit de dreiging is waar de burgermaatschappij mee te maken heeft, is het echt een noodsituatie." Volgens Google-onderzoekers Ian Beer en Samuel Groß is de NSO Group niet de enige met deze mogelijkheden. "Er zijn veel bedrijven die soortgelijke diensten bieden die waarschijnlijk hetzelfde doen. Het is alleen dat dit keer NSO het bedrijf was dat werd betrapt."

Reacties (3)
20-12-2021, 14:24 door Anoniem
Lees: de 5 eyes inlichtingendiensten maken zich zorgen om concurrentie.
Commerciele gedrag zal zorgen voor meer noodzaak om lekken sneller te delen ipv te misbruiken 'voor goede doeleinden'.
De afweging die zij dagelijks maken. Gevolg is dat zij een kleiner portofeuille overhouden voor eigen werkzaamheden.

Dàt is de noodkreet.
20-12-2021, 15:30 door Anoniem
Door Anoniem: Lees: de 5 eyes inlichtingendiensten maken zich zorgen om concurrentie.
Commerciele gedrag zal zorgen voor meer noodzaak om lekken sneller te delen ipv te misbruiken 'voor goede doeleinden'.
De afweging die zij dagelijks maken. Gevolg is dat zij een kleiner portofeuille overhouden voor eigen werkzaamheden.

Dàt is de noodkreet.

Wel mooi idd om te zien dat ze steeds vaker naar elkaar wijzen. Inlichtingendiensten ondergraven op die manier verder hun geloofwaardigheid. Het meeste conflict wordt tenslotte veroorzaakt door de zgn 5-eyes countries, met de 14-eyes meelopers in hun kielzog. Conflict is hun broodwinning.
21-12-2021, 07:50 door Anoniem
Je mag Hydra bijvoorbeeld niet gebruiken. Is dat bestemd voor andere actoren dan? Las dit op een site.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.