Google Project Zero углубляется в эксплойт FORCEDENTRY, используемый NSO Group

Команда Google Project Zero опубликовала технический анализ эксплойта FORCEDENTRY, который NSO Group использовала для заражения целевых iPhone своим шпионским ПО Pegasus через iMessage.

В марте Citizen Lab обнаружила FORCEDENTRY на iPhone, принадлежащем саудовскому активисту; организация показал, подвиг в сентябре. Apple выпустила исправления для основной уязвимости, которая затронула устройства iOS, watchOS и macOS, через 10 дней после раскрытия информации.

В Project Zero говорят, что они проанализировали FORCEDENTRY после того, как Citizen Lab поделилась образцом эксплойта при содействии группы Apple Security Engineering and Architecture (SEAR). (Он также отмечает, что ни Citizen Lab, ни SEAR не обязательно согласны с его «мнением редакции».)

«Основываясь на наших исследованиях и выводах, — говорит Project Zero, — мы оцениваем это как один из самых технически сложных эксплойтов, которые мы когда-либо видели, что еще раз демонстрирует, что возможности, которые предоставляет NSO, могут конкурировать с теми, которые ранее считались доступными лишь для немногих. национальных государств».

Полученная разбивка охватывает все: от встроенной поддержки iMessage для GIF-файлов, которые Project Zero услужливо определяет как «обычно небольшие и низкокачественные анимированные изображения, популярные в культуре мемов», до парсера PDF, который поддерживает относительно древний кодек изображений JBIG2.

Какое отношение GIF, PDF и JBIG2 имеют к компрометации телефона через iMessage? Project Zero объясняет, что NSO Group нашла способ использовать JBIG2 для достижения следующего:

«JBIG2 не имеет возможности написания сценариев, но в сочетании с уязвимостью у него есть возможность эмулировать схемы произвольных логических вентилей, работающих с произвольной памятью. Так почему бы просто не использовать это для создания собственной компьютерной архитектуры и сценария для этого!? Это именно то, что делает этот эксплойт. Используя более 70,000 64 сегментных команд, определяющих логические битовые операции, они определяют архитектуру небольшого компьютера с такими функциями, как регистры и полный XNUMX-битный сумматор и компаратор, которые они используют для поиска в памяти и выполнения арифметических операций. Это не так быстро, как Javascript, но по сути эквивалентно вычислениям».

Все это говорит о том, что NSO Group использовала кодек изображений, созданный для сжатия черно-белых PDF-файлов, чтобы получить что-то «фундаментально вычислительно эквивалентное» языку программирования, позволяющему работать в Интернете. apps для работы на iPhone цели.

«Операции начальной загрузки для эксплойта для побега из песочницы написаны для работы на этой логической схеме, и все это работает в этой странной эмулируемой среде, созданной из одного прохода декомпрессии через поток JBIG2», — говорит Project Zero. «Это довольно невероятно, и в то же время довольно пугающе».

Хорошая новость: Apple исправила FORCEDENTRY с выпуском iOS 14.8 и внесла дополнительные изменения в iOS 15 для предотвращения подобных атак. Плохая новость: Project Zero разбивает свой технический анализ на два поста в блоге и говорит, что второй еще не закончен.

Но даже половина анализа помогает демистифицировать эксплойт, вызвавший общественный резонанс, включение NSO Group в список организаций Министерством торговли США и судебный иск Apple против компании. NSO Group создала Pegasus; теперь Project Zero показывает, как он научился летать.