» »

Kako deluje orodje ForcedEntry podjetja NSO Group

Kako deluje orodje ForcedEntry podjetja NSO Group

Google Project Zero - Googlova skupina raziskovalcev kibernetske varnosti, Project Zero, je ponudila zanimiv vpogled v programje ForcedEntry, s katerim je zloglasno izraelsko podjetje NSO Group vdiralo v iphone in nanje nameščalo vohunsko zlobno kodo Pegasus.

Zanka okoli vratu izraelske firme za razvoj vohunskega programja, NSO Group, se v zadnjem času vztrajno zateguje, saj so jo na piko dobila tako velika podjetja kakor vlade zahodnih držav. Toda še vedno gre za izjemno nevarnega akterja na tržišču vohunske zlobne kode in kako domiselna so njihova orodja za vdiranje v naprave, strokovnjaki odkrivajo šele sedaj. Googlov laboratorij za raziskovanje programskih ranljivosti Project Zero se je lotil podrobnega vpogleda v orodje ForcedEntry, ki omogoča samodejno vdiranje v naprave brez uporabnikove interakcije (zero-click). Primerek kode so jim poslali iz kanadskega laboratorija Citizen Lab, kjer so ga sicer pridobili s telefona savdskega aktivista.

ForcedEntry je sicer serija aplikacij NSO Group za vdiranje, ki je v prvih inačicah še zahtevala klik na povezave do okužene kode, približno v letu 2018 pa je prešla na metodo zero-click. Raziskovalci Project Zera so se dokopali do nadvse zanimivih in pomenljivih izsledkov. Obravnavana različica ForcedEntryja je delovala skozi zlorabo ranljivosti v sporočilni aplikaciji iMessage v iOS. Luknje so zevale v prastari programski kodi - še iz devetdesetih let prejšnjega stoletja - ki jo je iMessage uporabljal za prikaz slikovne vsebine. Z domiselno zlorabo so lahko app prisilili v samodejno odpiranje okužene datoteke PDF, s čimer se je na telefon namestilo vohunsko programje. Dodatno fascinantno je, kako je ta proces potekal: povsem avtomatizirano in brez ukazov s strani nadzornih strežnikov ter v lastnem virtualiziranem prostoru, s čimer se je skril pred pogledom operacijskega sistema. V Applu so sicer do letošnjega oktobra ranljivosti že zakrpali.

V Project Zeru metode označujejo za izjemno napredne in povsem na ravni najsposobnejših državnih akterjev, se pravi ruskih, kitajskih, ameriških in severnokorejskih. Še vedno pa ni povsem jasno, kdo v NSO Group jih je pravzaprav razvil in kako natančno jih tržijo ter uporabljajo. Čeprav firma izdelke trži z odobritvijo izraelskih organov, pa ni dokazov, da bi jim neposredno pomagale tamkajšnje obveščevalne službe ali vojska. Iz mnogih preiskav Citizen Laba in Amnesty Internationala vemo, da delovanje Pegasusa običajno nadzoruje osrednji sistem strežnikov, kar bi v teoriji pomenilo, da imajo lahko prste poleg tudi pri posameznih vdorih, ne zgolj razvoju programja, kar pa sami vztrajno zanikajo.

7 komentarjev

Gregor P ::

Zanka okoli vratu izraelske firme za razvoj vohunskega programja, NSO Group, se v zadnjem času vztrajno zateguje, saj so jo na piko dobila tako velika podjetja kakor vlade zahodnih držav.
… to je zdaj tako napisano kot da “na trgu” ne bi imeli že drugih sodobnejših različic teh rešitev oz. tovrstnih “firm” …

P.S.: ni mišljeno kot kritika; hvala za članek.
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

Rias Gremory ::

Z domiselno zlorabo so lahko app prisilili v samodejno odpiranje okužene datoteke PDF, s čimer se je na telefon namestilo vohunsko programje.

Napaka.

strawman ::

Luknje so zevale v prastari programski kodi - še iz devetdesetih let prejšnjega stoletja


Zgleda bomo počasi imeli primere, kjer nekdo izkoristi varnostno luknjo starejšo od njih samih.

l0g1t3ch ::

Zanimivo, da je bila notri sploh tako stara koda (10 do 15 let).

Markoff ::

Damn thos Jew...els!
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

MrStein ::

l0g1t3ch je izjavil:

Zanimivo, da je bila notri sploh tako stara koda (10 do 15 let).

Hja, ne samo koda, bugi stari 10 ali 20 let so nekaj ... zelo pogostega.

Recimo https://bugs.eclipse.org/bugs/show_bug.... (19 let ima na grbi) Na srečo je le kozmetične narave.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

l0g1t3ch ::

Pač glede na to da je iPhone prišel ven 2008,pa da gre to za nek app in ne ravno kernel, bi si mislil da so stvari spisali na novo takrat.
Ne samo reusal 15 let stare kode.

Oh well...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Tudi Apple toži NSO Group

Oddelek: Novice / Tožbe
257965 (4557) sbawe64
»

Kako deluje orodje ForcedEntry podjetja NSO Group

Oddelek: Novice / Varnost
75628 (3449) l0g1t3ch
»

Afera NSO Group - vohunjenje vlad za aktivisti, novinarji, odvetniki

Oddelek: Problemi človeštva
81576 (1356) joze67
»

Vohunsko programje firme NSO spet buri duhove

Oddelek: Novice / Varnost
169255 (7267) ezcbd

Več podobnih tem