Google Project Zero глибоко вивчає експлойт FORCEDENTRY, який використовує NSO Group

Команда Google Project Zero опублікувала технічний аналіз експлойту FORCEDENTRY, який використовувався NSO Group для зараження цільових iPhone за допомогою шпигунського програмного забезпечення Pegasus через iMessage.

У березні Citizen Lab виявила FORCEDENTRY на iPhone, що належить саудівському активісту; організація виявлено подвиг у вересні. Apple випустила виправлення основної вразливості, яка вплинула на пристрої iOS, watchOS і macOS, через 10 днів після цього розкриття.

У Project Zero стверджується, що він проаналізував FORCEDENTRY після того, як Citizen Lab поділився зразком експлойту за допомогою групи Apple Security Engineering and Architecture (SEAR). (Також зазначається, що ні Citizen Lab, ні SEAR не обов’язково погоджуються з її «редакційними думками».)

«Грунтуючись на наших дослідженнях та результатах, — каже Project Zero, — ми оцінюємо це як одну з найбільш технічно складних експлойтів, які ми коли-небудь бачили, що додатково демонструє, що можливості NSO є конкурентами тим, які раніше вважалися доступними лише для кількох людей національних держав».

Отримана розбивка охоплює все, від вбудованої підтримки GIF-файлів iMessage — яку Project Zero корисно визначає як «зазвичай маленькі й низькоякісні анімовані зображення, популярні в культурі мемів», — до аналізатора PDF, який підтримує відносно древній кодек зображень JBIG2.

Яке відношення мають GIF, PDF-файли та JBIG2 до компрометації телефону через iMessage? Project Zero пояснює, що NSO Group знайшла спосіб використовувати JBIG2 для досягнення наступного:

«JBIG2 не має можливостей написання сценаріїв, але в поєднанні з уразливістю він має можливість емулювати схеми довільних логічних вентилів, що працюють з довільною пам’яттю. То чому б просто не використати це для створення власної комп’ютерної архітектури та сценарію!? Це саме те, що робить цей експлойт. Використовуючи понад 70,000 64 сегментних команд, що визначають логічні бітові операції, вони визначають невелику архітектуру комп’ютера з такими функціями, як регістри та повний XNUMX-розрядний суматор і компаратор, які вони використовують для пошуку в пам’яті та виконання арифметичних операцій. Він не такий швидкий, як Javascript, але принципово еквівалентний обчислень».

Все це означає, що NSO Group використовувала кодек зображень, створений для стискання чорно-білих PDF-файлів, щоб отримати щось «принципово еквівалентне обчисленням» мові програмування, яка дозволяє веб apps функціонувати на iPhone цілі.

«Операції завантаження для експлойту «пісочниці» написані для виконання на цій логічній схемі, і вся справа працює в цьому дивному емульованому середовищі, створеному за допомогою одного проходу декомпресії через потік JBIG2», — говорить Project Zero. «Це неймовірно, і водночас дуже жахливо».

Хороші новини: Apple виправила FORCEDENTRY з випуском iOS 14.8 і включила додаткові зміни в iOS 15, щоб запобігти подібним атакам. Погані новини: Project Zero розбиває свій технічний аналіз на дві публікації в блозі, а другий ще не завершено.

Але навіть лише половина аналізу допомагає демістифікувати експлойт, який призвів до громадського резонансу, внесення NSO Group до списку організацій Міністерством торгівлі США та позову Apple проти компанії. NSO Group створила Pegasus; Тепер Project Zero розкриває, як він навчився літати.