Pegasus odsłania swoje tajemnice

Wiele osób zastanawia się, jak to jest możliwe, że opracowane przez izraelską firmę NSO oprogramowanie Pegasus potrafi wykradać ze smartfonów poufne dane nawet wtedy, gdy jego użytkownik nie otwiera na nim żadnej aplikacji, ani nie klika żadnego linku czy jakiejkolwiek opcji. Stąd nazwa takiego ataku: „zero-click”.

Foto: Jonas Leupe/Unsplash

Trud wyjaśnienia tej tajemnicy zadała sobie grupa informatyków GPZ (Google Project Zero), która twierdzi iż jest to najbardziej zaawansowany technicznie exploit, jaki kiedykolwiek powstał. Zbadali oni, jak atakuje on smartfony pracujące pod kontrolą systemu operacyjnego iOS. Stwierdzili przy tym iż jest to, jak to sami określili w opublikowanym przez nich raporcie, „niesamowity” oraz na swój sposób „przerażający” malware.

Tworzy on w obszarze jednego z komponentów systemu iOS specyficznego rodzaju emulowane środowisko. Komponent ten standardowo obsługuje pliki graficzne GIF i nie można w nim uruchamiać skryptów. Exploit stworzony przez firmę NSO umożliwia jednak atakującemu uruchomienie w tym środowisku kodu podobnego do JavaScript, który ma dostęp do pamięci smartfona i pozwala hakerowi włamywać się do niego zdalnie.

Zobacz również:

  • Google Drive ostrzeże nas teraz przed niebezpiecznym plikiem
  • Kolejny model smartfona Galaxy z nowym procesorem z układem GPU bazującym na technologii AMD
  • Korea Północna kradnie na potęgę kryptowaluty

Apple odkrył w pewnym momencie, że eksploit może tak działać, ponieważ w komponencie systemu iOS noszącym nazwę CoreGraphics znajduje się podatność. Nadał jej nazwę CVE-2021-30860. Atak wykorzystuje kod, jakiego iMessage (komunikator internetowy) używa do obsługi obrazów GIF.

Badanie wykazało, że Pegasus korzysta z tej części modułu CoreGraphics, w której znajduje się parser plików PDF obsługujący grafikę JBIG2. I chociaż sam parser nie ma możliwości tworzenia skryptów, to twórcy Pegasusa wyposażyli go w bardzo przebiegły mechanizm, który korzystając z innych jeszcze drobniejszych luk znajdujących się w parserze, działa podobnie jak skrypt.

Ofiara takiego ataku jest namierzana za pomocą numeru telefonu lub identyfikatora AppleID (nazwa użytkownika) i użytkownik nie musi wtedy klikać żadnych linków, aby Pegasus włamał się do smartfona.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200