Google Project Zero паглыбляецца ў эксплойт FORCEDENTRY, які выкарыстоўваецца групай NSO

Каманда Google Project Zero апублікавала тэхнічны аналіз эксплойта FORCEDENTRY, які выкарыстоўваўся NSO Group для заражэння мэтавых iPhone шпіёнскімі праграмамі Pegasus праз iMessage.

Citizen Lab выявіла FORCEDENTRY на iPhone, які належыць саудаўскаму актывісту ў сакавіку; арганізацыя выяўлена эксплойт у верасні. Apple выпусціла выпраўленні для асноўнай уразлівасці, якая закранула прылады iOS, watchOS і macOS, праз 10 дзён пасля гэтага раскрыцця.

У Project Zero гаворыцца, што ён прааналізаваў FORCEDENTRY пасля таго, як Citizen Lab падзяліўся ўзорам эксплойта з дапамогай групы па тэхніцы бяспекі і архітэктуры Apple (SEAR). (У ім таксама адзначаецца, што ні Citizen Lab, ні SEAR не абавязкова згодныя з яе «рэдакцыйнымі меркаваннямі».)

«Грунтуючыся на нашых даследаваннях і выніках, — кажа Project Zero, — мы ацэньваем гэта як адзін з самых тэхнічна складаных эксплойтаў, якія мы калі-небудзь бачылі, што яшчэ больш дэманструе, што NSO забяспечвае канкурэнтам магчымасці, якія раней лічылася даступнымі толькі нешматлікім нацыянальных дзяржаў».

Выніковая разбіўка ахоплівае ўсё: ад убудаванай у iMessage падтрымкі GIF-файлаў — якія Project Zero паслужліва вызначае як «звычайна маленькія і нізкаякасныя анімаваныя выявы, папулярныя ў культуры мемаў», — да аналізатара PDF, які падтрымлівае адносна старажытны кодэк малюнкаў JBIG2.

Якое дачыненне маюць файлы GIF, PDF і JBIG2 да кампраметацыі тэлефона праз iMessage? Project Zero тлумачыць, што NSO Group знайшла спосаб выкарыстоўваць JBIG2 для дасягнення наступнага:

«JBIG2 не мае магчымасці напісання сцэнарыяў, але ў спалучэнні з уразлівасцю ён мае магчымасць эмуляваць схемы адвольных лагічных варотаў, якія працуюць на адвольнай памяці. Дык чаму б проста не выкарыстаць гэта для стварэння ўласнай кампутарнай архітэктуры і скрыпту!? Гэта менавіта тое, што робіць гэты эксплойт. Выкарыстоўваючы больш за 70,000 64 каманд сегментаў, якія вызначаюць лагічныя бітавыя аперацыі, яны вызначаюць невялікую архітэктуру кампутара з такімі функцыямі, як рэгістры і поўны XNUMX-разрадны суматор і кампаратар, якія яны выкарыстоўваюць для пошуку ў памяці і выканання арыфметычных аперацый. Гэта не так хутка, як Javascript, але ў прынцыпе вылічальна эквівалентна».

Усё гэта азначае, што NSO Group выкарыстоўвала кодэк малюнкаў, які быў створаны для сціскання чорна-белых PDF-файлаў, каб ён мог атрымаць нешта «прынцыпова эквівалентнае вылічальна» мове праграмавання, якая дазваляе вэб apps функцыянаваць на iPhone мэты.

«Аперацыі загрузкі для эксплойта выхаду з пясочніцы напісаны для выканання на гэтай лагічнай схеме, і ўсё гэта працуе ў гэтай дзіўнай эмуляванай асяроддзі, створанай з аднаго праходу дэкампрэсіі праз паток JBIG2», - кажа Project Zero. «Гэта даволі неверагодна, і ў той жа час, даволі жахліва».

Добрая навіна: Apple выправіла FORCEDENTRY з выпускам iOS 14.8 і ўключыла дадатковыя змены ў iOS 15, каб прадухіліць падобныя атакі. Дрэнная навіна: Project Zero разбівае свой тэхнічны аналіз на дзве публікацыі ў блогу, і ў ім гаворыцца, што другая яшчэ не завершана.

Але нават толькі палова аналізу дапамагае дэмістыфікаваць эксплойт, які прывёў да грамадскага рэзанансу, унясенне NSO Group у спіс суб'ектаў Міністэрствам гандлю ЗША і пазову Apple супраць кампаніі. NSO Group стварыла Pegasus; цяпер Project Zero паказвае, як ён навучыўся лётаць.