Google Project Zero se aprofunda na exploração FORCEDENTRY usada pelo NSO Group

A equipe do Project Zero do Google publicou uma análise técnica do exploit FORCEDENTRY que foi usado pelo NSO Group para infectar iPhones alvo com seu spyware Pegasus via iMessage.

O Citizen Lab descobriu o FORCEDENTRY em um iPhone de propriedade de um ativista saudita em março; a organização revelou a exploração em setembro. A Apple lançou patches para a vulnerabilidade subjacente, que afetou dispositivos iOS, watchOS e macOS, 10 dias após essa divulgação.

O Project Zero diz que analisou o FORCEDENTRY depois que o Citizen Lab compartilhou uma amostra da exploração com a ajuda do grupo de Engenharia e Arquitetura de Segurança (SEAR) da Apple. (Também observa que nem o Citizen Lab nem a SEAR necessariamente concordam com suas “opiniões editoriais”.)

“Com base em nossas pesquisas e descobertas”, diz o Project Zero, “avaliamos que essa é uma das explorações tecnicamente mais sofisticadas que já vimos, demonstrando ainda mais que os recursos que o NSO fornece rivalizam com aqueles anteriormente considerados acessíveis a apenas um punhado dos Estados-nação”.

O detalhamento resultante abrange tudo, desde o suporte interno do iMessage para GIFs – que o Project Zero define como “imagens animadas normalmente pequenas e de baixa qualidade populares na cultura de memes” – até um analisador de PDF que suporta o relativamente antigo codec de imagem JBIG2.

O que GIFs, PDFs e JBIG2 têm a ver com o comprometimento de um telefone via iMessage? O Project Zero explica que o NSO Group encontrou uma maneira de usar o JBIG2 para alcançar o seguinte:

“JBIG2 não tem recursos de script, mas quando combinado com uma vulnerabilidade, tem a capacidade de emular circuitos de portas lógicas arbitrárias operando em memória arbitrária. Então, por que não usar isso para construir sua própria arquitetura de computador e criar um script!? É exatamente isso que esse exploit faz. Usando mais de 70,000 comandos de segmento definindo operações de bits lógicos, eles definem uma pequena arquitetura de computador com recursos como registradores e um somador e comparador completo de 64 bits que eles usam para pesquisar na memória e realizar operações aritméticas. Não é tão rápido quanto o Javascript, mas é fundamentalmente equivalente computacionalmente.”

Tudo isso para dizer que o NSO Group usou um codec de imagem que foi feito para compactar PDFs em preto e branco para obter algo “fundamentalmente equivalente computacionalmente” à linguagem de programação que permite web apps para funcionar no iPhone de um alvo.

“As operações de bootstrapping para a exploração de escape de sandbox são escritas para rodar neste circuito lógico e a coisa toda é executada neste ambiente estranho e emulado criado a partir de uma única passagem de descompressão através de um fluxo JBIG2”, diz o Project Zero. “É incrível e, ao mesmo tempo, bastante aterrorizante.”

A boa notícia: a Apple corrigiu o FORCEDENTRY com o lançamento do iOS 14.8 e incluiu alterações adicionais no iOS 15 para evitar ataques semelhantes. A má notícia: o Project Zero está dividindo sua análise técnica em duas postagens no blog, e diz que a segunda ainda não terminou.

Mas apenas metade da análise ajuda a desmistificar a exploração que levou a protestos públicos, o NSO Group sendo colocado na Lista de Entidades pelo Departamento de Comércio dos EUA e o processo da Apple contra a empresa. O Grupo NSO criou a Pegasus; agora o Projeto Zero está revelando como aprendeu a voar.