Google Project Zero Goes Deep on FORCEDENTRY-udnyttelse brugt af NSO Group

Googles Project Zero-team har offentliggjort en teknisk analyse af FORCEDENTRY-udnyttelsen, der blev brugt af NSO Group til at inficere mål-iPhones med deres Pegasus-spyware via iMessage.

Citizen Lab opdagede FORCEDENTRY på en iPhone ejet af en saudisk aktivist i marts; organisationen afslørede udnyttelsen i september. Apple udgav patches til den underliggende sårbarhed, som påvirkede iOS-, watchOS- og macOS-enheder, 10 dage efter denne offentliggørelse.

Project Zero siger, at det analyserede FORCEDENTRY efter Citizen Lab delte en prøve af udnyttelsen med assistance fra Apples Security Engineering and Architecture (SEAR) gruppe. (Det bemærker også, at hverken Citizen Lab eller SEAR nødvendigvis er enige i dets "redaktionelle udtalelser.")

"Baseret på vores forskning og resultater," siger Project Zero, "vurderer vi, at dette er en af ​​de mest teknisk sofistikerede udnyttelser, vi nogensinde har set, hvilket yderligere viser, at de muligheder, som NSO leverer, konkurrerer med dem, der tidligere blev anset for at være tilgængelige for kun en håndfuld af nationalstater."

Den resulterende nedbrydning dækker alt fra iMessages indbyggede understøttelse af GIF'er - som Project Zero hjælpsomt definerer som "typisk små og lavkvalitets animerede billeder populære i memekulturen" - til en PDF-parser, der understøtter det relativt gamle JBIG2 billedcodec.

Hvad har GIF'er, PDF'er og JBIG2 at gøre med at kompromittere en telefon via iMessage? Project Zero forklarer, at NSO Group fandt en måde at bruge JBIG2 til at opnå følgende:

"JBIG2 har ikke scripting-egenskaber, men når det kombineres med en sårbarhed, har den evnen til at emulere kredsløb af vilkårlige logiske porte, der opererer på vilkårlig hukommelse. Så hvorfor ikke bare bruge det til at bygge din egen computerarkitektur og skrive det!? Det er præcis, hvad denne udnyttelse gør. Ved at bruge over 70,000 segmentkommandoer, der definerer logiske bitoperationer, definerer de en lille computerarkitektur med funktioner såsom registre og en fuld 64-bit adder og komparator, som de bruger til at søge i hukommelsen og udføre aritmetiske operationer. Det er ikke så hurtigt som Javascript, men det er grundlæggende beregningsmæssigt ækvivalent."

Alt dette vil sige, at NSO Group brugte et billedcodec, der blev lavet til at komprimere sort-hvide PDF'er, så det kunne få noget "fundamentalt beregningsmæssigt ækvivalent" til programmeringssproget, der tillader web apps at fungere på et måls iPhone.

"Opstartsoperationerne til sandbox-escape-udnyttelsen er skrevet til at køre på dette logiske kredsløb, og det hele kører i dette mærkelige, emulerede miljø skabt ud fra et enkelt dekompressionspassage gennem en JBIG2-strøm," siger Project Zero. "Det er ret utroligt, og på samme tid ret skræmmende."

Den gode nyhed: Apple lappede FORCEDENTRY med udgivelsen af ​​iOS 14.8 og inkluderede yderligere ændringer i iOS 15 for at forhindre lignende angreb. Den dårlige nyhed: Project Zero deler sin tekniske analyse op i to blogindlæg, og den siger, at det andet ikke er færdigt endnu.

Men selv kun halvdelen af ​​analysen hjælper med at afmystificere udnyttelsen, der førte til offentligt ramaskrig, NSO Group blev sat på Entity List af det amerikanske handelsministerium og Apples retssag mod virksomheden. NSO Group skabte Pegasus; nu afslører Project Zero, hvordan den lærte at flyve.