Google Project Zero geht tief in FORCEDENTRY-Exploit, das von der NSO Group verwendet wird

Das Project Zero-Team von Google hat veröffentlicht eine technische Analyse des FORCEDENTRY-Exploits, der von der NSO Group verwendet wurde, um Ziel-iPhones über iMessage mit ihrer Pegasus-Spyware zu infizieren.

Citizen Lab entdeckte FORCEDENTRY im März auf einem iPhone eines saudischen Aktivisten; die Organisation enthüllt der Exploit im September. Zehn Tage nach dieser Offenlegung veröffentlichte Apple Patches für die zugrunde liegende Sicherheitslücke, die iOS-, watchOS- und macOS-Geräte betraf.

Project Zero gibt an, FORCEDENTRY analysiert zu haben, nachdem Citizen Lab mit Unterstützung der Security Engineering and Architecture (SEAR)-Gruppe von Apple ein Beispiel des Exploits geteilt hatte. (Es wird außerdem darauf hingewiesen, dass weder Citizen Lab noch SEAR unbedingt mit seinen „redaktionellen Meinungen“ übereinstimmen.)

„Basierend auf unseren Recherchen und Erkenntnissen“, sagt Project Zero, „bewerten wir dies als einen der technisch ausgefeiltesten Exploits, die wir je gesehen haben, was ein weiterer Beweis dafür ist, dass die von NSO bereitgestellten Funktionen denen Konkurrenz machen, von denen man bisher dachte, dass sie nur einer Handvoll zugänglich sind.“ von Nationalstaaten.“

Die resultierende Aufschlüsselung deckt alles ab, von iMessages integrierter Unterstützung für GIFs – die Project Zero hilfreich als „typischerweise kleine und minderwertige animierte Bilder, die in der Meme-Kultur beliebt sind“ definiert – bis hin zu einem PDF-Parser, der den relativ alten JBIG2-Bildcodec unterstützt.

Was haben GIFs, PDFs und JBIG2 mit der Kompromittierung eines Telefons über iMessage zu tun? Project Zero erklärt, dass die NSO Group einen Weg gefunden hat, mit JBIG2 Folgendes zu erreichen:

„JBIG2 verfügt nicht über Skriptfähigkeiten, aber in Kombination mit einer Schwachstelle ist es in der Lage, Schaltkreise beliebiger Logikgatter zu emulieren, die auf beliebigem Speicher laufen. Warum also nicht einfach Ihre eigene Computerarchitektur erstellen und ein Skript erstellen? Genau das macht dieser Exploit. Mithilfe von über 70,000 Segmentbefehlen, die logische Bitoperationen definieren, definieren sie eine kleine Computerarchitektur mit Funktionen wie Registern und einem vollständigen 64-Bit-Addierer und Komparator, den sie zum Durchsuchen des Speichers und zum Durchführen arithmetischer Operationen verwenden. Es ist nicht so schnell wie Javascript, aber grundsätzlich rechnerisch gleichwertig.“

Das bedeutet, dass die NSO Group einen Bildcodec verwendet hat, der für die Komprimierung von Schwarzweiß-PDFs entwickelt wurde, um so etwas zu erhalten, das der Programmiersprache, die das Web ermöglicht, „grundsätzlich rechnerisch gleichwertig“ ist apps um auf dem iPhone eines Ziels zu funktionieren.

„Die Bootstrapping-Operationen für den Sandbox-Escape-Exploit sind so geschrieben, dass sie auf dieser Logikschaltung laufen, und das Ganze läuft in dieser seltsamen, emulierten Umgebung, die aus einem einzigen Dekomprimierungsdurchlauf durch einen JBIG2-Stream entsteht“, sagt Project Zero. „Es ist ziemlich unglaublich und gleichzeitig ziemlich erschreckend.“

Die gute Nachricht: Apple hat FORCEDENTRY mit der Veröffentlichung von iOS 14.8 gepatcht und zusätzliche Änderungen in iOS 15 integriert, um ähnliche Angriffe zu verhindern. Die schlechte Nachricht: Project Zero teilt seine technische Analyse in zwei Blogbeiträge auf und es heißt, der zweite sei noch nicht fertig.

Doch bereits die Hälfte der Analyse trägt dazu bei, den Exploit zu entmystifizieren, der zu öffentlichem Aufschrei, der Aufnahme der NSO Group auf die Entity List des US-Handelsministeriums und der Klage von Apple gegen das Unternehmen geführt hat. Die NSO Group hat Pegasus gegründet. Jetzt enthüllt Project Zero, wie es das Fliegen gelernt hat.