image

IPhones via nieuwe zerodays stilletjes geïnfecteerd met Pegasus-spyware

vrijdag 8 september 2023, 09:27 door Redactie, 18 reacties

Aanvallers hebben iPhones door middel van twee nieuwe zerodaylekken stilletjes geïnfecteerd met de Pegasus-spyware. Net als met andere zogenoemde 'zero-click' aanvallen is er geen enkele interactie van slachtoffers vereist om besmet te raken. Apple heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen.

De beveiligingslekken bevinden zich in ImageIO (CVE-2023-41064) en Wallet (CVE-2023-41061) en maken het voor een aanvaller mogelijk door het versturen van een malafide afbeelding of bijlage om willekeurige code op de telefoon uit te voeren. Onderzoekers van Citizen Lab ontdekten de Pegasus-spyware op de iPhone van een medewerker van een niet nader genoemde maatschappelijke organisatie die internationaal actief is.

Verder onderzoek wees uit dat de aanvallers gebruik hadden gemaakt van een op dat moment nog onbekende zero-click kwetsbaarheden. Voor het uitvoeren van de aanval verstuurden de aanvallers vanaf hun iMessage-account malafide afbeeldingen naar het slachtoffer. Verdere details zal Citizen Lab op een later moment bekendmaken. De aanval werkt tegen iOS 16.6 en eerder. Apple heeft de problemen verholpen met iOS 16.6.1 en iPadOS 16.6.1.

Lockdown Mode

Citizen Lab en Apple laten weten dat het instellen van de Lockdown Mode op iPhones deze specifieke aanval blokkeert. De Lockdown Mode beperkt bepaalde functionaliteiten, wat het aanvalsoppervlak voor aanvallers moet verkleinen. Zo zullen in Lockdown Mode de meeste bijlagetypes voor berichten worden geblokkeerd. Alleen bepaalde afbeeldingen zijn toegestaan.

Reacties (18)
08-09-2023, 10:18 door Anoniem
De overheid is lekker bezig, niet alleen met Pegasus
https://www.ninefornews.nl/medisch-adviseur-trekt-aan-de-noodrem-ik-voel-mij-niet-meer-veilig-in-nederland/
08-09-2023, 11:31 door Anoniem
Heeft hier ook plaatsgevonden (ook op dit forum).

De statelijke factcheckers zitten overal al binnen. De eigen regie over je berichtgeving wordt je zo ontnomen, als je de mening geventileerd door regering en massa media kanalen negeert of afwijst.

Censuur en newspeak in plaats van eerdere boekverbrandingen in de jaren dertig, worden nu alle verkeerde Sinterklaasboeken uit biens verwijderd.

Gelukkig heeft men hier nog een onafhankelijke en verstandige moderatie. Wees er zuinig op.

luntrus
08-09-2023, 13:57 door Anoniem
Zeroday werkt niet met iPhone in 'isolatiemodus' #tipoftheday
08-09-2023, 15:01 door Anoniem
Door Anoniem: Zeroday werkt niet met iPhone in 'isolatiemodus' #tipoftheday

Licht even toe, ik kan er zo niks over vinden.
08-09-2023, 16:37 door Anoniem
Door Anoniem:
Door Anoniem: Zeroday werkt niet met iPhone in 'isolatiemodus' #tipoftheday

Licht even toe, ik kan er zo niks over vinden.
Bedoeld de lockdown modus wat ook in het artikel staat beschreven.
08-09-2023, 17:26 door Anoniem
Als je een lockdown modes nodig hebt op je iphone moet je bij je zelf te raden gaan waarom je een iphone zou willen vertrouwen voor een dergelijke privacy belangrijke use case.
Er zijn betere alternatieven. Waarbij je zelfs hardware matig functies uit kunt zetten. Of een uitneembare batterij bijvoorbeeld.
Ik heb inmiddels teveel rob braxman videos gezien dat ik tot de conclusie gekomen ben dat je voor privacy niet bij apple moet zijn in ieder geval.
08-09-2023, 22:25 door Anoniem
@anoniem 17:26 welke bedrijven respecteren onze privacy dan wel ? Kun je hier voorbeelden geven ?
09-09-2023, 13:04 door Anoniem
Door Anoniem: @anoniem 17:26 welke bedrijven respecteren onze privacy dan wel ? Kun je hier voorbeelden geven ?
Nee dat kan hij niet en zoals dikwijls op deze site wordt er wat geroepen en dan vraag je om een antwoord dan
zijn ze niet thuis.
09-09-2023, 13:37 door Anoniem
Door Anoniem: @anoniem 17:26 welke bedrijven respecteren onze privacy dan wel ? Kun je hier voorbeelden geven ?

De volgende drie firma's leveren kant-en-klare privacyvriendelijke mobieltjes, die eenvoudig te gebruiken zijn:

Organisatie Systeem Isolatie Jurisdictie

Murena.com /e/OS LineageOS met microG SELinux France
Puri.sm PureOS Debian GNU/Linux AppArmor United States
Volla.online Ubuntu Debian met Android kernel AppArmor Deutschland

https://en.wikipedia.org/wiki/List_of_open-source_mobile_phones

Een Fairphone is een Nederlands ontwerp. Via Murena.com kan men kant-en-klare Fairphones met /e/OS aanschaffen.
Voor beginners raad ik vanwege de eenvoud /e/OS aan. Een PinePhone ook prima, maar is meer geschikt voor technici.
Nadeel van op Debian gebaseerde systemen is dat de DigiD / eID en banks apps daarvoor (nog) niet beschikbaar zijn, maar daarvoor zijn omwegen te bedenken, bijvoorbeeld door gebruik te maken van een losse ID-token en de website.

Iedere keuze heeft verschillende voor- en nadelen. Een Linux mobieltje is redelijk veilig, maar is zeker niet zaligmakend.

https://madaidans-insecurities.github.io/linux-phones.html
09-09-2023, 14:34 door karma4
Door Anoniem: De overheid is lekker bezig, niet alleen met Pegasus
https://www.ninefornews.nl/medisch-adviseur-trekt-aan-de-noodrem-ik-voel-mij-niet-meer-veilig-in-nederland/
Ook zo'n fraaie bronvermelding, geeft meteen een waardeoordeel af.
09-09-2023, 15:10 door Anoniem
Door Anoniem: De overheid is lekker bezig, niet alleen met Pegasus
https://www.ninefornews.nl/medisch-adviseur-trekt-aan-de-noodrem-ik-voel-mij-niet-meer-veilig-in-nederland/

Weet niet wat de overheid met dit artikel te maken heeft. Pegasus is van een commercieel bedrijf. Apple ook overigens.
09-09-2023, 20:13 door Anoniem
Door dit soort berichten over inbreuk op onze privacy voel ik mij inmiddels continu onveilig.
Als er iets onverklaarbaars gebeurd op mijn laptop of telefoon krijg ik meteen de zenuwen.
Ben ik gehackt? Kijkt iemand mee? Wordt ik afgeluisterd? Is of wordt mijn identiteit gestolen?
Gek word ik ervan. Mijn geestelijke gezondheid lijdt eronder.
09-09-2023, 20:51 door linuxpro
Ah stilletjes want normaal hangen ze t aan de grote klok en krijg je pop-ups enzo... pfff
09-09-2023, 21:53 door Anoniem
Pegasus een commercieel bedrijf noemen met wortels in de specialisten afdeling van de IDF?

Tel-Aviv en Jeruzalem liggen met de auto niet zo ver van elkaar verwijderd.

Vandaar dat ik je opmerking gewoon commercieel bedrijf niet zo goed kan plaatsen. De CEO is oud-intelligence officer, ook degeen die eerder opstapte kwam uit de kringen van afdeling-702.

Snappen mensen nu eindelijk ook waarom het Duitse anti-semitisme in de eerste plaats wortelde in jaloezie op die specifiek gecultiveerde kwaliteiten van dit bijzondere volk - slim, praktisch en succesvol?

luntrus
10-09-2023, 10:10 door Anoniem
Door Anoniem: Als je een lockdown modes nodig hebt op je iphone moet je bij je zelf te raden gaan waarom je een iphone zou willen vertrouwen voor een dergelijke privacy belangrijke use case.
Er zijn betere alternatieven. Waarbij je zelfs hardware matig functies uit kunt zetten. Of een uitneembare batterij bijvoorbeeld.
Ik heb inmiddels teveel rob braxman videos gezien dat ik tot de conclusie gekomen ben dat je voor privacy niet bij apple moet zijn in ieder geval.

Rob Braxman,mag zeuderig overkomen ,maar heeft veel informatie ,die hout snijen.In ieder geval voor mij.
Belangrijk bij de alternatieve telefoonis,dat je niet onlogt bij "1" van de grote bedrijven....etc.

Gr,Jan
10-09-2023, 10:11 door Anoniem
Door Anoniem:
Door Anoniem: @anoniem 17:26 welke bedrijven respecteren onze privacy dan wel ? Kun je hier voorbeelden geven ?

De volgende drie firma's leveren kant-en-klare privacyvriendelijke mobieltjes, die eenvoudig te gebruiken zijn:

Organisatie Systeem Isolatie Jurisdictie

Murena.com /e/OS LineageOS met microG SELinux France
Puri.sm PureOS Debian GNU/Linux AppArmor United States
Volla.online Ubuntu Debian met Android kernel AppArmor Deutschland

https://en.wikipedia.org/wiki/List_of_open-source_mobile_phones

Een Fairphone is een Nederlands ontwerp. Via Murena.com kan men kant-en-klare Fairphones met /e/OS aanschaffen.
Voor beginners raad ik vanwege de eenvoud /e/OS aan. Een PinePhone ook prima, maar is meer geschikt voor technici.
Nadeel van op Debian gebaseerde systemen is dat de DigiD / eID en banks apps daarvoor (nog) niet beschikbaar zijn, maar daarvoor zijn omwegen te bedenken, bijvoorbeeld door gebruik te maken van een losse ID-token en de website.

Iedere keuze heeft verschillende voor- en nadelen. Een Linux mobieltje is redelijk veilig, maar is zeker niet zaligmakend.

https://madaidans-insecurities.github.io/linux-phones.html

Men kan beter een Pixel telefoon kopen (zonder abonnement anders werkt het niet) en daarop GrapheneOS zetten, Android (AOSP) heeft echt een goede beveiliging, en al helemaal met allerlei beveiligingstoevoegingen die GrapheneOS biedt, in principe is Android opzich al een stuk veiliger dan desktop besturingsystemen, AOSP is Android zonder bloatware.
Die PureOS telefoon is helaas echt niet zo veilig als men zegt. (De Pinephone weet ik niet)
GrapheneOS is eveneens resistent tegen aanvallen van Pegasus.
Wel zou ik er uitsluitend FOSS-gebaseerde apps op zetten, geen Facebook e.d. (Al heeft GrapheneOS een goede sandboxing, de app kan wel naar "zichzelf" kijken en wat mensen daarop doen)
Linux phones hebben aan de andere kant wel het voordeel killswitches te hebben, evenals de mogelijkheid om desktop applicaties te draaien.
Kijk bij Linuxphones alleen wel uit dat men een besturingsysteem met full-disk encryption neemt, anders ligt alle data op straat bij diefstal of verlies. (PostmarketOS is wel goed op mijn Pinephone, al zou ik voor de meeste mensen een Pinephone Pro aanraden als men toch een Linuxphone wil, zou hem alleen niet voor dagelijks gebruik nemen aangezien de telefoon en software wel experimenteel is)
10-09-2023, 12:03 door jali2911
Door Anoniem:
Door Anoniem: @anoniem 17:26 welke bedrijven respecteren onze privacy dan wel ? Kun je hier voorbeelden geven ?

De volgende drie firma's leveren kant-en-klare privacyvriendelijke mobieltjes, die eenvoudig te gebruiken zijn:

Organisatie Systeem Isolatie Jurisdictie

Murena.com /e/OS LineageOS met microG SELinux France
Puri.sm PureOS Debian GNU/Linux AppArmor United States
Volla.online Ubuntu Debian met Android kernel AppArmor Deutschland

https://en.wikipedia.org/wiki/List_of_open-source_mobile_phones

Een Fairphone is een Nederlands ontwerp. Via Murena.com kan men kant-en-klare Fairphones met /e/OS aanschaffen.
Voor beginners raad ik vanwege de eenvoud /e/OS aan. Een PinePhone ook prima, maar is meer geschikt voor technici.
Nadeel van op Debian gebaseerde systemen is dat de DigiD / eID en banks apps daarvoor (nog) niet beschikbaar zijn, maar daarvoor zijn omwegen te bedenken, bijvoorbeeld door gebruik te maken van een losse ID-token en de website.

Iedere keuze heeft verschillende voor- en nadelen. Een Linux mobieltje is redelijk veilig, maar is zeker niet zaligmakend.

https://madaidans-insecurities.github.io/linux-phones.html

Dit is ook gewoon schijnveiligheid, als je deze systemen niet up to date houd of er een zero-day gevonden en misbruikt wordt heb je dezelfde problemen.
Ik snap niet waarom de Iphone een lockdown mode niet standaard actief heeft, zeker als dit de beviliging ten goede komt.
11-09-2023, 11:37 door Anoniem
Door jali2911: Ik snap niet waarom de Iphone een lockdown mode niet standaard actief heeft.

De bounties van Zerodium voor zero-clicks liggen in de orde van 2,5 miljoen dollar.

1. Ik acht het onwaarschijnlijk dat ik aan een dergelijke aanval wordt blootgesteld.
2. Zoveel geld zijn mijn contacten en de gegevens op mijn mobieltje niet waard.
3. Voor een fractie die prijs kan ik geavanceerde tegenmaatregelen toepassen.

Mocht ik op lange tenen staan, dan kan ik altijd nog GrapheneOS gaan gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.