Google Project Zero gaat dieper in op de Exploit van FORCEDENTRY gebruikt door NSO Group

Het Project Zero-team van Google heeft gepubliceerd een technische analyse van de FORCEDENTRY-exploit die door NSO Group werd gebruikt om doel-iPhones te infecteren met zijn Pegasus-spyware via iMessage.

Citizen Lab ontdekte in maart FORCEDENTRY op een iPhone van een Saoedische activist; de organisatie onthuld de exploit in september. Apple heeft 10 dagen na die onthulling patches uitgebracht voor de onderliggende kwetsbaarheid, die iOS-, watchOS- en macOS-apparaten trof.

Project Zero zegt dat het FORCEDENTRY analyseerde nadat Citizen Lab een voorbeeld van de exploit had gedeeld met hulp van de Security Engineering and Architecture (SEAR)-groep van Apple. (Het merkt ook op dat noch Citizen Lab noch SEAR het noodzakelijkerwijs eens zijn met zijn "redactionele meningen".)

"Op basis van ons onderzoek en onze bevindingen", zegt Project Zero, "beschouwen we dit als een van de technisch meest geavanceerde exploits die we ooit hebben gezien, wat verder aantoont dat de mogelijkheden die NSO biedt, wedijveren met die waarvan eerder werd gedacht dat ze slechts voor een handvol van natiestaten.”

De resulterende uitsplitsing omvat alles van iMessage's ingebouwde ondersteuning voor GIF's - die Project Zero handig definieert als "typisch kleine geanimeerde afbeeldingen van lage kwaliteit die populair zijn in de meme-cultuur" - tot een PDF-parser die de relatief oude JBIG2-afbeeldingscodec ondersteunt.

Wat hebben GIF's, PDF's en JBIG2 te maken met het compromitteren van een telefoon via iMessage? Project Zero legt uit dat NSO Group een manier heeft gevonden om JBIG2 te gebruiken om het volgende te bereiken:

“JBIG2 heeft geen scriptmogelijkheden, maar in combinatie met een kwetsbaarheid heeft het wel de mogelijkheid om circuits van willekeurige logische poorten te emuleren die op willekeurig geheugen werken. Dus waarom zou u dat niet gewoon gebruiken om uw eigen computerarchitectuur te bouwen en dat te scripten!? Dat is precies wat deze exploit doet. Met behulp van meer dan 70,000 segmentcommando's die logische bitbewerkingen definiëren, definiëren ze een kleine computerarchitectuur met functies zoals registers en een volledige 64-bits opteller en comparator die ze gebruiken om geheugen te doorzoeken en rekenkundige bewerkingen uit te voeren. Het is niet zo snel als Javascript, maar het is fundamenteel equivalent aan berekeningen."

Dit alles wil zeggen dat NSO Group een afbeeldingscodec gebruikte die was gemaakt om zwart-wit PDF's te comprimeren, zodat het iets "fundamenteel computationeel equivalent" kon krijgen van de programmeertaal waarmee web apps om te functioneren op de iPhone van een doelwit.

"De bootstrapping-bewerkingen voor de sandbox-escape-exploit zijn geschreven om op dit logische circuit te draaien en het hele ding draait in deze vreemde, geëmuleerde omgeving die is gemaakt met een enkele decompressie door een JBIG2-stream", zegt Project Zero. "Het is vrij ongelooflijk, en tegelijkertijd behoorlijk angstaanjagend."

Het goede nieuws: Apple heeft FORCEDENTRY gepatcht met de release van iOS 14.8 en aanvullende wijzigingen aangebracht in iOS 15 om soortgelijke aanvallen te voorkomen. Het slechte nieuws: Project Zero splitst zijn technische analyse op in twee blogposts en zegt dat de tweede nog niet klaar is.

Maar zelfs maar de helft van de analyse helpt de mystificatie te ontrafelen die tot publieke verontwaardiging leidde, de NSO Group die door het Amerikaanse ministerie van Handel op de entiteitenlijst werd geplaatst en de rechtszaak van Apple tegen het bedrijf. NSO Groep creëerde Pegasus; nu onthult Project Zero hoe het leerde vliegen.