Google Project Zero approfondit l'exploit FORCEDENTRY utilisé par le groupe NSO

L'équipe Project Zero de Google a publié une analyse technique de l'exploit FORCEDENTRY qui a été utilisé par le groupe NSO pour infecter les iPhones cibles avec son logiciel espion Pegasus via iMessage.

Citizen Lab a découvert FORCEDENTRY sur un iPhone appartenant à un activiste saoudien en mars ; l'organisation révélé l'exploit en septembre. Apple a publié des correctifs pour la vulnérabilité sous-jacente, qui affectait les appareils iOS, watchOS et macOS, 10 jours après cette divulgation.

Project Zero dit avoir analysé FORCEDENTRY après que Citizen Lab a partagé un échantillon de l'exploit avec l'aide du groupe Security Engineering and Architecture (SEAR) d'Apple. (Il note également que ni Citizen Lab ni SEAR ne sont nécessairement d'accord avec ses "opinions éditoriales".)

"Sur la base de nos recherches et de nos conclusions", déclare Project Zero, "nous évaluons qu'il s'agit de l'un des exploits les plus sophistiqués sur le plan technique que nous ayons jamais vus, démontrant en outre que les capacités fournies par NSO rivalisent avec celles que l'on pensait auparavant accessibles à une poignée seulement. des États-nations ».

La répartition qui en résulte couvre tout, de la prise en charge intégrée d'iMessage pour les GIF - que Project Zero définit utilement comme "des images animées généralement petites et de mauvaise qualité populaires dans la culture des mèmes" - à un analyseur PDF qui prend en charge le codec d'image JBIG2 relativement ancien.

Qu'est-ce que les GIF, PDF et JBIG2 ont à voir avec la compromission d'un téléphone via iMessage ? Project Zero explique que NSO Group a trouvé un moyen d'utiliser JBIG2 pour atteindre les objectifs suivants :

« JBIG2 n'a pas de capacités de script, mais lorsqu'il est combiné à une vulnérabilité, il a la capacité d'émuler des circuits de portes logiques arbitraires fonctionnant sur une mémoire arbitraire. Alors pourquoi ne pas simplement l'utiliser pour créer votre propre architecture informatique et le scripter ! ? C'est exactement ce que fait cet exploit. En utilisant plus de 70,000 64 commandes de segment définissant les opérations logiques sur les bits, ils définissent une petite architecture informatique avec des fonctionnalités telles que des registres et un additionneur et comparateur XNUMX bits complet qu'ils utilisent pour rechercher de la mémoire et effectuer des opérations arithmétiques. Ce n'est pas aussi rapide que Javascript, mais c'est fondamentalement équivalent en termes de calcul.

Tout cela pour dire que NSO Group a utilisé un codec d'image conçu pour compresser les PDF en noir et blanc afin d'obtenir quelque chose de "fondamentalement équivalent sur le plan informatique" au langage de programmation qui permet au Web apps pour fonctionner sur l'iPhone d'une cible.

"Les opérations d'amorçage pour l'exploit d'échappement du bac à sable sont écrites pour s'exécuter sur ce circuit logique et le tout s'exécute dans cet environnement étrange et émulé créé à partir d'un seul passage de décompression via un flux JBIG2", explique Project Zero. "C'est assez incroyable, et en même temps, assez terrifiant."

La bonne nouvelle : Apple a corrigé FORCEDENTRY avec la sortie d'iOS 14.8 et a inclus des modifications supplémentaires dans iOS 15 pour empêcher des attaques similaires. La mauvaise nouvelle : Project Zero divise son analyse technique en deux articles de blog, et il indique que le second n'est pas encore terminé.

Mais même la moitié seulement de l'analyse aide à démystifier l'exploit qui a provoqué le tollé public, l'inscription du groupe NSO sur la liste des entités par le département américain du Commerce et le procès d'Apple contre l'entreprise. Le groupe NSO a créé Pegasus ; maintenant Project Zero révèle comment il a appris à voler.