image

Citizen Lab: NSO-klanten gebruikten zeker drie zero-click iOS-exploits in 2022

dinsdag 18 april 2023, 17:21 door Redactie, 4 reacties

Klanten van spywareleverancier NSO Group hebben vorig jaar zeker drie zero-click exploits ingezet om iPhones met spyware te infecteren, zo stelt Citizen Lab op basis van eigen onderzoek. Bij een zero-click exploit is er geen enkele interactie van het slachtoffer vereist om zijn telefoon te besmetten. Alleen het kennen van bijvoorbeeld een telefoonnummer of Apple ID-gebruikersnaam kan dan al voldoende zijn.

De drie zero-click exploits worden door Citizen Lab LatentImage, FindMyPwn en PwnYourHome genoemd. Hoe LatentImage precies werkt konden de onderzoekers niet achterhalen, aangezien deze exploit zeer weinig sporen achterlaat. In het geval van FindMyPwn gaat het om een tweetraps-exploit, die eerst de Find My-feature van iPhones misbruikt, waarmee gebruikers een verloren of gestolen toestel kunnen vinden, gevolgd door misbruik van een iMessage-proces.

De PwnYourHome is ook een tweetraps-exploit. Het eerste deel betreft de HomeKit-functionaliteit binnen iPhones, gevolgd door een iMessage-proces. HomeKit is een framework van Apple waarmee gebruikers apparaten in hun huis kunnen bedienen, zoals lampen, deuren en thermostaten. Zelf wanneer gebruikers nog nooit van HomeKit hebben gebruikt kunnen ze via de exploit worden aangevallen.

Om iPhone-gebruikers te beschermen tegen aanvallen die misbruik van kwetsbaarheden in iMessage maken kwam Apple met een service genaamd "BlastDoor". Deze service fungeert als een sandbox die onbetrouwbare data van iMessage verwerkt. Het gaat dan bijvoorbeeld om tekst, afbeeldingen, bestanden en video's die de gebruiker in berichten ontvangt en binnen de sandbox worden uitgevoerd. In het geval van de PwnYourHome-exploit weten de aanvallers uit de BlastDoor-sandbox te breken.

Citizen Lab ontdekte dat wanneer iPhone-gebruikers de Lockdown Mode hebben ingeschakeld, die het aanvalsoppervlak van de iPhone moet verkleinen, meldingen liet zien. Mogelijk dat NSO Group later een oplossing hiervoor ontwikkelde. De onderzoekers hebben echter geen succesvolle aanvallen met de PwnYourHome-exploit gezien tegen iPhones waar de Lockdown Mode was ingeschakeld. IPhone-gebruikers die risico op aanvallen lopen worden dan ook geadviseerd om deze mode dan ook in te schakelen. Wat betreft het gebruik van de exploits zijn die onder andere in Mexico waargenomen, waarbij ze tegen mensenrechtenactivisten werden ingezet.

Afsluitend laat Citizen Lab weten dat softwareontwikkelaars, gezien het gebruik van verschillende aanvalsoppervlaktes, holistisch over het beveiligen van apparaten moeten nadenken. Zo kan een aanvaller met informatie van het ene proces een tweede proces aanvallen. Daarnaast laat het onderzoek zien dat NSO Group steeds meer moeite doet om de eigen sporen te verbergen, wat de uitdagingen voor partijen zoals Citizen Lab aantoont. Die moeten aan de ene kant het vrijgeven van informatie balanceren met de mogelijkheid om toekomstige infecties te kunnen detecteren.

Naar aanleiding van informatie die Citizen Lab met Apple deelde kwam het techbedrijf in januari van dit jaar met extra beveiligingsverbeteringen voor HomeKit. Tevens besloot het techbedrijf op basis van informatie die de onderzoekers deelden om in november, december en maart slachtoffers te waarschuwen. Citizen Lab is een onderdeel van de universiteit van Toronto dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Ook doet het veel onderzoek naar het gebruik van spyware tegen activisten, journalisten en dissidenten.

Reacties (4)
18-04-2023, 20:13 door Anoniem
Afsluitend laat Citizen Lab weten dat softwareontwikkelaars, gezien het gebruik van verschillende aanvalsoppervlaktes, holistisch over het beveiligen van apparaten moeten nadenken.

The Holistic Security Manual
Tactical Tech, 2017
ISBN 978-3-00-053520-8 [PDF]

https://holistic-security.tacticaltech.org

Dit is een strategiehandboek om mensenrechtenactivisten te helpen hun veiligheid en welzijn te behouden.
18-04-2023, 20:18 door Anoniem
zijn wel veel zeroclick exploits om nog toeval te zijn.. werkt apple met NSO samen?
19-04-2023, 08:48 door DLans
Door Anoniem: zijn wel veel zeroclick exploits om nog toeval te zijn.. werkt apple met NSO samen?

Zo kan je overal wel wat achter gaan zoeken. Een gezonde hoeveelheid wantrouwen doet een mens goed, maar schiet er niet in door.
19-04-2023, 10:20 door Anoniem
Apple heeft een duidelijke toewijding aan privacy en beveiliging van hun klanten, wat zich uit in hun inspanningen om end-to-end encryptie voor berichten te implementeren en om functies zoals BlastDoor en Lockdown Mode te introduceren om zero-click exploits tegen te gaan. Bovendien heeft Apple zich herhaaldelijk uitgesproken tegen het gebruik van spyware en heeft het bedrijf in het verleden stappen ondernomen om de privacy en beveiliging van hun klanten te beschermen.

Aangezien NSO Group bekend staat om het verkopen van spyware aan overheden en andere entiteiten die zich schuldig maken aan mensenrechtenschendingen en repressie van dissidenten, zou het zeer onwaarschijnlijk zijn dat Apple bewust zou samenwerken met een dergelijk bedrijf. Het zou immers in strijd zijn met hun toewijding aan privacy en beveiliging, en het zou hun reputatie ernstig schaden als het zou blijken dat ze samenwerken met NSO Group.

Bovendien zijn er rapporten geweest van actieve campagnes van NSO Group tegen Apple-producten, waaronder de iPhone, in verschillende landen, waaronder Mexico. Het is daarom niet logisch dat Apple zou samenwerken met een bedrijf dat hun eigen producten probeert te compromitteren.

Op basis van deze feiten en de kennis en inzichten van experts, zou het zeer onlogisch en schadelijk zijn voor de belangen van Apple als ze zouden samenwerken met NSO Group. Het is dan ook zeer onwaarschijnlijk dat een dergelijke samenwerking zou bestaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.