Key takeaways
- Vi analyserar spionskandalen som avslöjats av Citizen Lab och Googles säkerhetsforskare har upptäckt en ny attackmekanism som kallas nollklicksexploatering.
- Traditionella säkerhetsverktyg som antivirus kan inte förhindra utnyttjande av nollklick.
- Apple har stoppat en, men forskare fruktar att det kommer att bli fler noll-klick-operationer i framtiden.
Att följa bästa praxis för säkerhet anses vara en försiktig tillvägagångssätt för att hålla enheter som bärbara datorer och smartphones säkra, eller så var det tills forskare upptäckte ett nytt knep som nästan inte går att upptäcka.
När de dissekerar den nyligen korrigerade Apple-buggen som användes för att installera Pegasus-spyware på specifika mål, har säkerhetsforskare från Googles Project Zero upptäckt en innovativ ny attackmekanism som de har kallat en "nollklicksexploatering", att inget mobilt antivirus kan förhindra.
"För att inte använda en enhet, det finns inget sätt att förhindra exploatering av en "noll-klick exploatering;" det är ett vapen som det inte finns något försvar mot", hävdade Google Project Zero-ingenjörerna Ian Beer och Samuel Groß i ett blogginlägg.
Frankensteins monster
Pegasus spionprogram är idén från NSO Group, ett israeliskt teknikföretag som nu har lagts till på USA:s "Entity List", som i huvudsak blockerar det från den amerikanska marknaden.
"Det är inte klart vad en rimlig förklaring av integritet är på en mobiltelefon, där vi ofta ringer mycket personliga samtal på offentliga platser. Men vi förväntar oss verkligen inte att någon ska lyssna på vår telefon, även om det är vad Pegasus gör det möjligt för människor att göra", förklarade Saryu Nayyar, VD för cybersäkerhetsföretaget Gurucul, i ett mejl till Lifewire.
Som slutanvändare bör vi alltid vara försiktiga med att öppna meddelanden från okända eller opålitliga källor, oavsett hur lockande ämnet eller meddelandet är…
Pegasus spionprogram kom i rampljuset i juli 2021, när Amnesty International avslöjade att det användes för att spionera på journalister och människorättsaktivister över hela världen.
Detta följdes av ett avslöjande från forskare vid Citizen Lab i augusti 2021, efter att de hittat bevis på övervakning på iPhone 12 Pro av nio Bahraini-aktivister genom en exploatering som undvek de senaste säkerhetsskydden i iOS 14, gemensamt känd som BlastDoor.
Faktum är att Apple har lämnat in en stämningsansökan mot NSO-gruppen och håller den ansvarig för att kringgå iPhone-säkerhetsmekanismer för att övervaka Apple-användare via dess Pegasus-spionprogram.
Statssponsrade aktörer som NSO-gruppen spenderar miljontals dollar på sofistikerad övervakningsteknik utan effektiv ansvarsskyldighet. Det måste ändras, säger Craig Federighi, Apples senior vice president för Software Engineering, i pressmeddelandet om rättegången.
I det tvådelade Google Project Zero-inlägget förklarade Beer och Groß hur NSO-gruppen fick Pegasus-spionprogrammet på målens iPhones med hjälp av noll-klick-attackmekanismen, som de beskrev som både otrolig och skrämmande.
En exploatering med noll klick är precis vad det låter som – offren behöver inte klicka eller trycka på något för att äventyras. Istället kan det installeras på enheten genom att bara titta på ett e-postmeddelande eller meddelande med den stötande skadliga programvaran bifogad.
Imponerande och farligt
Enligt forskarna börjar attacken genom ett elak meddelande på iMessage-appen. För att hjälpa oss att bryta ner den ganska komplexa attackmetodologin som hackarna utarbetade tog Lifewire hjälp av den oberoende säkerhetsforskaren Devanand Premkumar.
Premkumar förklarade att iMessage har flera inbyggda mekanismer för att hantera animerade.gif-filer. En av dessa metoder kontrollerar det specifika filformatet med hjälp av ett bibliotek som heter ImageIO. Hackarna använde ett "gif-trick" för att utnyttja en svaghet i det underliggande supportbiblioteket, kallat CoreGraphics, för att få tillgång till mål-iPhonen.
"Som slutanvändare bör vi alltid vara försiktiga med att öppna meddelanden från okända eller opålitliga källor, oavsett hur lockande ämnet eller meddelandet är, eftersom det används som den primära ingången till mobiltelefonen, " Premkumar meddelade Lifewire i ett e-postmeddelande.
Premkumar tillade att den nuvarande attackmekanismen endast är känd för att fungera på iPhones när han gick igenom de steg som Apple har vidtagit för att undanröja den nuvarande sårbarheten. Men medan den nuvarande attacken har begränsats, har attackmekanismen öppnat Pandoras ask.
Nollklick kommer inte att dö snart. Det kommer att finnas fler och fler av sådana nollklick-exploater som testas och distribueras mot högprofilerade mål för känslig och värdefull data som kan extraheras från sådana utnyttjade användares mobiltelefoner, säger Premkumar.
Under tiden har Apple, förutom stämningen mot NSO, beslutat att tillhandahålla teknisk, hotintelligens och teknisk assistans till Citizen Lab-forskarna pro-bono och har lovat att erbjuda samma hjälp till andra organisationer som utför kritiskt arbete i det här utrymmet.
Dessutom har företaget bidragit med 10 miljoner dollar, såväl som alla skadestånd som utdömts från rättegången för att stödja organisationer som är involverade i förespråkande och forskning om övergrepp mot cyberövervakning.
