Citizen Lab: NSO-klanten gebruikten zeker drie zero-click iOS-exploits in 2022
Klanten van spywareleverancier NSO Group hebben vorig jaar zeker drie zero-click exploits ingezet om iPhones met spyware te infecteren, zo stelt Citizen Lab op basis van eigen onderzoek. Bij een zero-click exploit is er geen enkele interactie van het slachtoffer vereist om zijn telefoon te besmetten. Alleen het kennen van bijvoorbeeld een telefoonnummer of Apple ID-gebruikersnaam kan dan al voldoende zijn.
De drie zero-click exploits worden door Citizen Lab LatentImage, FindMyPwn en PwnYourHome genoemd. Hoe LatentImage precies werkt konden de onderzoekers niet achterhalen, aangezien deze exploit zeer weinig sporen achterlaat. In het geval van FindMyPwn gaat het om een tweetraps-exploit, die eerst de Find My-feature van iPhones misbruikt, waarmee gebruikers een verloren of gestolen toestel kunnen vinden, gevolgd door misbruik van een iMessage-proces.
De PwnYourHome is ook een tweetraps-exploit. Het eerste deel betreft de HomeKit-functionaliteit binnen iPhones, gevolgd door een iMessage-proces. HomeKit is een framework van Apple waarmee gebruikers apparaten in hun huis kunnen bedienen, zoals lampen, deuren en thermostaten. Zelf wanneer gebruikers nog nooit van HomeKit hebben gebruikt kunnen ze via de exploit worden aangevallen.
Om iPhone-gebruikers te beschermen tegen aanvallen die misbruik van kwetsbaarheden in iMessage maken kwam Apple met een service genaamd "BlastDoor". Deze service fungeert als een sandbox die onbetrouwbare data van iMessage verwerkt. Het gaat dan bijvoorbeeld om tekst, afbeeldingen, bestanden en video's die de gebruiker in berichten ontvangt en binnen de sandbox worden uitgevoerd. In het geval van de PwnYourHome-exploit weten de aanvallers uit de BlastDoor-sandbox te breken.
Citizen Lab ontdekte dat wanneer iPhone-gebruikers de Lockdown Mode hebben ingeschakeld, die het aanvalsoppervlak van de iPhone moet verkleinen, meldingen liet zien. Mogelijk dat NSO Group later een oplossing hiervoor ontwikkelde. De onderzoekers hebben echter geen succesvolle aanvallen met de PwnYourHome-exploit gezien tegen iPhones waar de Lockdown Mode was ingeschakeld. IPhone-gebruikers die risico op aanvallen lopen worden dan ook geadviseerd om deze mode dan ook in te schakelen. Wat betreft het gebruik van de exploits zijn die onder andere in Mexico waargenomen, waarbij ze tegen mensenrechtenactivisten werden ingezet.
Afsluitend laat Citizen Lab weten dat softwareontwikkelaars, gezien het gebruik van verschillende aanvalsoppervlaktes, holistisch over het beveiligen van apparaten moeten nadenken. Zo kan een aanvaller met informatie van het ene proces een tweede proces aanvallen. Daarnaast laat het onderzoek zien dat NSO Group steeds meer moeite doet om de eigen sporen te verbergen, wat de uitdagingen voor partijen zoals Citizen Lab aantoont. Die moeten aan de ene kant het vrijgeven van informatie balanceren met de mogelijkheid om toekomstige infecties te kunnen detecteren.
Naar aanleiding van informatie die Citizen Lab met Apple deelde kwam het techbedrijf in januari van dit jaar met extra beveiligingsverbeteringen voor HomeKit. Tevens besloot het techbedrijf op basis van informatie die de onderzoekers deelden om in november, december en maart slachtoffers te waarschuwen. Citizen Lab is een onderdeel van de universiteit van Toronto dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Ook doet het veel onderzoek naar het gebruik van spyware tegen activisten, journalisten en dissidenten.
The Holistic Security Manual
Tactical Tech, 2017
ISBN 978-3-00-053520-8 [PDF]
https://holistic-security.tacticaltech.org
Dit is een strategiehandboek om mensenrechtenactivisten te helpen hun veiligheid en welzijn te behouden.
Zo kan je overal wel wat achter gaan zoeken. Een gezonde hoeveelheid wantrouwen doet een mens goed, maar schiet er niet in door.
Aangezien NSO Group bekend staat om het verkopen van spyware aan overheden en andere entiteiten die zich schuldig maken aan mensenrechtenschendingen en repressie van dissidenten, zou het zeer onwaarschijnlijk zijn dat Apple bewust zou samenwerken met een dergelijk bedrijf. Het zou immers in strijd zijn met hun toewijding aan privacy en beveiliging, en het zou hun reputatie ernstig schaden als het zou blijken dat ze samenwerken met NSO Group.
Bovendien zijn er rapporten geweest van actieve campagnes van NSO Group tegen Apple-producten, waaronder de iPhone, in verschillende landen, waaronder Mexico. Het is daarom niet logisch dat Apple zou samenwerken met een bedrijf dat hun eigen producten probeert te compromitteren.
Op basis van deze feiten en de kennis en inzichten van experts, zou het zeer onlogisch en schadelijk zijn voor de belangen van Apple als ze zouden samenwerken met NSO Group. Het is dan ook zeer onwaarschijnlijk dat een dergelijke samenwerking zou bestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
