Google Project Zero се задълбочава в експлойта FORCEDENTRY, използван от NSO Group

Екипът на Google Project Zero публикува технически анализ на експлойта FORCEDENTRY, който беше използван от NSO Group за заразяване на целеви iPhone с шпионски софтуер Pegasus чрез iMessage.

Citizen Lab откри FORCEDENTRY на iPhone, собственост на саудитски активист през март; организацията разкри експлоата през септември. Apple пусна корекции за основната уязвимост, която засегна устройства с iOS, watchOS и macOS, 10 дни след това разкриване.

Project Zero казва, че анализира FORCEDENTRY, след като Citizen Lab сподели извадка от експлойта с помощта на групата за сигурност и архитектура на Apple (SEAR). (Той също така отбелязва, че нито Citizen Lab, нито SEAR непременно са съгласни с нейните „редакционни становища“.)

„Въз основа на нашите изследвания и констатации,“ казва Project Zero, „ние оценяваме това като един от най-сложните технически експлойти, които някога сме виждали, като допълнително демонстрира, че възможностите, които NSO предоставя, съперничат на тези, за които преди се смяташе, че са достъпни само за шепа на национални държави”.

Получената разбивка обхваща всичко от вградената поддръжка на iMessage за GIF файлове – които Project Zero услужливо дефинира като „обикновено малки и нискокачествени анимирани изображения, популярни в културата на мемите“ – до PDF анализатор, който поддържа сравнително древния кодек за изображения JBIG2.

Какво общо имат GIF файловете, PDF файловете и JBIG2 с компрометирането на телефон чрез iMessage? Project Zero обяснява, че NSO Group е намерила начин да използва JBIG2, за да постигне следното:

„JBIG2 няма скриптови възможности, но когато се комбинира с уязвимост, той има способността да емулира схеми на произволни логически порти, работещи с произволна памет. Така че защо просто не го използвате, за да изградите своя собствена компютърна архитектура и да напишете това!? Точно това прави този експлоат. Използвайки над 70,000 64 сегментни команди, дефиниращи логически битови операции, те дефинират малка компютърна архитектура с функции като регистри и пълен XNUMX-битов суматор и компаратор, които използват за търсене в паметта и извършване на аритметични операции. Не е толкова бърз като Javascript, но е фундаментално еквивалентен изчислително.”

Всичко това означава, че NSO Group е използвала кодек за изображения, който е направен за компресиране на черно-бели PDF файлове, за да може да получи нещо „фундаментално изчислително еквивалентно“ на езика за програмиране, който позволява уеб apps да функционира на iPhone на целта.

„Операциите за стартиране на експлойта за избягване на пясъчника са написани да се изпълняват на тази логическа верига и цялото нещо работи в тази странна, емулирана среда, създадена от едно декомпресионно преминаване през JBIG2 поток“, казва Project Zero. "Това е доста невероятно и в същото време доста ужасяващо."

Добрата новина: Apple поправи FORCEDENTRY с пускането на iOS 14.8 и включи допълнителни промени в iOS 15, за да предотврати подобни атаки. Лошата новина: Project Zero разделя техническия си анализ на две публикации в блога и казва, че вторият все още не е завършен.

Но дори само половината от анализа помага да се демистифицира експлоата, който доведе до обществен протест, включването на NSO Group в списъка на субектите от Министерството на търговията на САЩ и делото на Apple срещу компанията. NSO Group създаде Pegasus; сега Project Zero разкрива как се е научил да лети.