image

Zerodays in Chrome en iOS gebruikt voor aanval met Predator-spyware

zaterdag 23 september 2023, 10:10 door Redactie, 6 reacties

Recent verholpen zerodaylekken in Google Chrome en iOS zijn gebruikt voor het infecteren van de smartphone van een voormalig Egyptisch parlementslid met de Predator-spyware, zo stellen onderzoekers van Citizen Lab en Google. De aanval vond plaats via een Man-in-the-Middle (MitM) aanval en linkjes die via sms werden verstuurd.

Deze week kwam Apple met beveiligingsupdates voor drie actief aangevallen zerodaylekken die het mogelijk maken om een toestel volledig over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Er is geen verdere interactie van gebruikers vereist.

Om de iPhone van parlementslid Ahmed Eltantawy met de Predator-spyware te infecteren stuurden de aanvallers linkjes in sms-berichten die zogenaamd van WhatsApp afkomstig leken. Daarnaast werd er een MitM-aanval toegepast wanneer Eltantawy HTTP-sites bezocht. Het voormalige parlementslid werd dan stilletjes naar een malafide website doorgestuurd die de aanval op zijn iPhone uitvoerde.

Volgens Google beschikten de aanvallers ook over een zerodaylek in Chrome om de Predator-spyware op Androidtelefoons in Egypte te installeren. Deze kwetsbaarheid is inmiddels door Google verholpen. Volgens het techbedrijf laten de aanvallen het belang van HTTPS zien, dat netwerkinjectie via een MitM-aanval moet voorkomen. Hiervoor biedt Chrome de “HTTPS-First Mode”, waarbij websites altijd over HTTPS worden geladen en er een waarschuwing verschijnt als er wordt teruggevallen op HTTP.

De Predator-spyware geeft aanvallers vergaande controle over de telefoon van slachtoffers, die zo zijn te bespioneren. De malware wordt aangeboden door het bedrijf Cytrox. Citizen Lab en Google stellen dat de spyware-aanval weer een voorbeeld is van misbruik door het groeiende aantal commerciële spywareleveranciers.

Reacties (6)
23-09-2023, 11:20 door Anoniem
Ik heb geen bewijs gevonden dat dit zonder tussenkomst van de gebruiker kan worden geïnstalleerd.
Volgens de onderzoekers: We suspect that he clicked the message’s link, triggering the installation. Since the 2023 messages contain similar bait content, we believe these messages were also attempts to install the Predator spyware on his phone.
23-09-2023, 13:12 door Anoniem
Waarom connecten browsers ook al weer niet direct standaard naar HTTPS. (Zonder HTST te moeten configgen en andere grappen)
Ik vind 't altijd knap irritant dat ik nog steeds poort 80 moet hosten terwijl dit eigenlijk overbodig is nooit gebruikt wordt behalve voor een upgrade naar HTTPS.
Ze beloven al heel lang dat dit de standaard zou worden maar ondertussen...
23-09-2023, 21:00 door Erik van Straten
Door Redactie: Hiervoor biedt Chrome de “HTTPS-First Mode”, waarbij websites altijd over HTTPS worden geladen en er een waarschuwing verschijnt als er wordt teruggevallen op HTTP.
Volgens mij worden hier twee dingen door elkaar gehaald (begrijpelijk).

Begin 2021 kondigde Google "https-first" aan, zie bijv. https://www.zdnet.com/article/chrome-will-soon-try-https-first-when-you-type-an-incomplete-url/. Het plan was dat het de default instelling zou worden, indien mensen bijv. security.nl in de adresbalk van hun browser zouden invoeren en er geen sprake is van HSTS {1}, dat dan eerst https geprobeerd zou worden - en als dat niet zou lukken, er dan automatisch naar http teruggevallen zou worden.

{1} Geen HSTS doordat de server het niet (correct) ondersteunt, dit het eerste bezoek is met deze browser of het vorige bezoek te lang geleden is, de gebruiker dit onderdeel van de browser-geschiedenis heeft gewist, of een private tab gebruikt.

Ik vraag mij sterk af of dit ooit gewerkt heeft in "productieversies" van Chrome. Probleem: bij veel goedkope hosters van http-only websites werkte https ook, maar kwam je op een beheerpagina uit. Ook hielp deze instelling niet tegen links die "hard" met http begonnen. Ten slotte waren er vermoedelijk te veel gebruikers die het niet snappen als ze een melding krijgen dat de site van een of ander restaurant, kapper of hotelletje alleen via http te bekijken valt.

Als dit had gewerkt en gebruikers gewaarschuwd zouden zijn bij "afzakken naar http", dan hadden veel meer mensen veel eerder geklaagd over bijv. werk.nl (zie https://www.security.nl/posting/803597/werk_nl%3A+geen+https).

Wel heeft Chrome op een gegeven moment een optioneel aan te zetten instelling "https-only" gemaakt (ook beschikbaar in Chrome voor iOS/iPadOS, waarop Safari en Firefox niet zo'n instelling hebben). Met die instelling wordt ook elke http-link in https veranderd (voordat verbinding gemaakt wordt), en krijg je een foutmelding als er geen https-verbinding mogelijk is.

Je kunt prima testen hoe jouw browser reageert door http://http.badssl.com/ te openen; een veilige browser hoort te waarschuwen dat er geen https-verbinding mogelijk is met die webserver (met de domeinnaam http.badssl.com). Als je een rood scherm te zien krijgt, gebruik je ofwel een browser zonder veilige instelling, ofwel een onveilige browser.
24-09-2023, 20:20 door Anoniem
De Predator-spyware geeft aanvallers vergaande controle over de telefoon van slachtoffers
Iets wat de fabrikant continu heeft. Maar om de een of andere reden vinden we dat niet erg...
24-09-2023, 22:13 door Anoniem
@ anoniem van 20:20 heden,

Goed opgemerkt, beste poster.
Inderdaad als propriety-owned software, bijvoorbeeld van GAMA Big Tech reuzen dit doen (Google=Alphabet),
kraait er geen spreekwoordelijke haan naar. Ja dus af en toe een flut-boete voor de Bühne.
En even hard foei roepen. Toch wel makkelijk die commerciële sleepnetters.

Deze Big Tech silicon-valley en -forest bedrijven zijn destijds
met steun van de Amerikaanse overheid (DARPA) meegefinancierd
en opgezet juist ook met deze doeleinden voor ogen.
All your data is/belong to us, rather say the USA 3-and 4-letter-services.

We weten het allemaal en kennelijk hoort het zo,
dus nu wel zeuren over de gelijkaardige CSS-plannetjes van de EU
met hun DSA, DMA, etc. digital governance is coming to a device near you.

Kun je je afvragen wat is erger, overall monitoring and total surveillance of all citizens ofwel...
Dan is een commercieel bedrijf uit Eretz Israël, gerund door voormalige section-702 officieren van IDF.
natuurlijk de gebeten hond. Ze hebben namelijk de juiste expertise en zijn daarom overal gevraagd.

Ergo conclusio, het is maar hoe of je het bekijken wil.
,
25-09-2023, 08:12 door Anoniem
Waarom heeft zo'n bedrijf die crimineel bezig is bestaansrecht en heeft een programmeur die een criminele tool programmeert geen vrijheid daarin?
https://www.security.nl/posting/786952/Vermeende+ontwikkelaar+bruteforcetool+NLBrute+uitgeleverd+aan+VS
Ook dat 'bedrijf' NSO die pegasus heeft ontwikkeld, is dat niet net zo slecht of zelfs nog slechter dan een brute-force programma schrijven/ontwikkelen?
Als die rus nou eerst een BV had gestart en dan z'n tool aan de staat had aangeboden , zou die dan wel z'n handeltje mogen bedrijven?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.