Google Project Zero jde do hloubky při zneužívání FORCEDENTRY používaného skupinou NSO

Tým společnosti Google Project Zero zveřejnil technickou analýzu exploitu FORCEDENTRY, který používala NSO Group k infikování cílových iPhonů svým spywarem Pegasus prostřednictvím iMessage.

Citizen Lab objevila FORCEDENTRY na iPhonu vlastněném saúdským aktivistou v březnu; organizace odhalil exploit v září. Apple vydal opravy základní zranitelnosti, která postihla zařízení iOS, watchOS a macOS, 10 dní po tomto odhalení.

Project Zero říká, že analyzoval FORCEDENTRY poté, co Citizen Lab sdílela vzorek exploitu s pomocí skupiny Security Engineering and Architecture (SEAR) společnosti Apple. (Také poznamenává, že ani Citizen Lab, ani SEAR nemusí nutně souhlasit s jejími „názory redakce“.)

„Na základě našeho výzkumu a zjištění,“ říká Project Zero, „toto hodnotíme jako jedno z technicky nejsofistikovanějších exploitů, jaké jsme kdy viděli, což dále dokazuje, že schopnosti, které NSO poskytuje, konkurují těm, o kterých se dříve myslelo, že jsou dostupné pouze pro hrstku. národních států“.

Výsledné rozdělení pokrývá vše od vestavěné podpory GIF v iMessage – kterou Project Zero užitečně definuje jako „obvykle malé a nekvalitní animované obrázky oblíbené v kultuře memů“ – až po analyzátor PDF, který podporuje relativně starý obrázkový kodek JBIG2.

Co mají GIFy, PDF a JBIG2 společného s kompromitováním telefonu přes iMessage? Project Zero vysvětluje, že NSO Group našla způsob, jak využít JBIG2 k dosažení následujícího:

„JBIG2 nemá skriptovací schopnosti, ale v kombinaci se zranitelností má schopnost emulovat obvody libovolných logických hradel pracujících na libovolné paměti. Tak proč to prostě nepoužít k vytvoření vlastní počítačové architektury a nenaskriptovat to!? To je přesně to, co tento exploit dělá. Pomocí více než 70,000 64 segmentových příkazů definujících logické bitové operace definují architekturu malého počítače s funkcemi, jako jsou registry a úplný XNUMXbitový sčítač a komparátor, které používají k prohledávání paměti a provádění aritmetických operací. Není tak rychlý jako Javascript, ale je v zásadě výpočetně ekvivalentní.“

To vše znamená, že NSO Group použila obrázkový kodek, který byl vytvořen pro kompresi černobílých PDF, aby mohla získat něco „zásadně výpočetně ekvivalentního“ programovacímu jazyku, který umožňuje web apps fungovat na cílovém iPhone.

„Operace bootstrapping pro exploit sandbox escape jsou napsány tak, aby běžely na tomto logickém obvodu a celá věc běží v tomto podivném, emulovaném prostředí vytvořeném jediným dekompresním průchodem přes JBIG2 stream,“ říká Project Zero. "Je to docela neuvěřitelné a zároveň docela děsivé."

Dobrá zpráva: Apple opravil FORCEDENTRY s vydáním iOS 14.8 a zahrnul další změny do iOS 15, aby zabránil podobným útokům. Špatná zpráva: Project Zero rozděluje svou technickou analýzu do dvou blogových příspěvků a uvádí, že druhý ještě není dokončen.

Ale i jen polovina analýzy pomáhá demystifikovat zneužití, které vedlo k veřejnému pobouření, zařazení NSO Group na seznam entit americkým ministerstvem obchodu a žalobu Applu proti společnosti. Skupina NSO vytvořila Pegasus; nyní Project Zero odhaluje, jak se naučil létat.