2021/12/23

Como funcionava o spyware do NSO Group

O spyware Pegasus do NSO Group tinha a capacidade de infectar um iPhone bastando saber o número de telefone ou email do utilizador, e agora foi revelado em detalhe como é que o processo funcionava.

O NSO Group tem estado em sarilhos por culpa do seu spyware Pegasus que funcionava "bem demais". A proliferação dos casos em que foi usado, para espiar jornalistas, activistas, políticos e até presidentes - apesar da empresa assegurar que apenas o fornecia a entidades reconhecidas e com objectivo de perseguir criminosos e terroristas - tornou-o cada vez mais mediático, agora chegando a um ponto em que até a Apple avançou com um processo contra a empresa.

É simultaneamente impressionante e assustador descobrir a complexidade do sistema utilizado para infectar iPhones, que agora foi revelado por investigadores de segurança.

O ataque ideal para infecção por spyware é exactamente o mesmo que é procurado por quem cria vírus e malware: algo que possa infectar o dispositivo da vítima. Normalmente isso implica tentar enganá-lo de forma a que clique nalgum link, ou abra um documento, ou instale uma app; mas o ataque de sonho são aqueles que são designados por "zero-click", e que podem ser efectuados sem que seja necessária qualquer acção por parte da vítima, como é o caso do sistema usado pelo NSO Group.

Tudo começava com o envio daquilo que parecia ser um GIF para o iPhone da vítima via iMessage, usando o número de telefone da vítima ou username iCloud; só que esse GIF na verdade não era um GIF mas sim um PDF malicioso concebido para explorar uma vulnerabilidade no sistema CoreGraphics usado pelo iOS para processar as imagens - e que era activado sem que o utilizador tivesse sequer que abrir ou ver a mensagem. Através dessa vulnerabilidade o spyware Pegasus usava outro sistema para corromper a memória, dando-lhe acesso a zonas de memórias a que não deveria ter acesso. Com isso, o spyware conseguia criar uma mini-máquina virtual, isolada do sistema, através do qual o NSO Group podia fazer o download do resto do spyware e, a partir daí, ter total controlo sobre os iPhones das vítimas de forma praticamente impossível de detectar pelos utilizadores normais.

A Apple já corrigiu a vulnerabilidade no iOS 14.8, mas é tecnicamente possível que iPhones já infectados possam permanecer infectados mesmo após uma actualização, já que o spyware tem total controlo sobre o sistema, o que lhe dá a capacidade de potencialmente poder adulterar as próprias actualizações de forma a se manter activo. Apenas com uma limpeza total e instalação de um firmware completo da Apple (via DFU por exemplo) se poderá ficar com a garantia de limpeza do dispositivo.
E claro, o NSO Group tinha / tem sistemas idênticos para infectar Android, Windows, Macs... e podemos também assumir que existirão outras empresas, ou entidades, que poderão ter capacidade idêntica mas que não fazem publicidade a isso.


Infelizmente, basta olhar para a quantidade de actualizações que recebemos mensalmente, com intermináveis "correcções de segurança", para perceber que este tipo de ameaça não irá desaparecer tão cedo.

4 comentários:

  1. A correção para iOS saiu a 26 de outubro.
    E para Android & fabricantes sai quando?
    Ah, pois é ...

    ResponderEliminar
    Respostas
    1. Era uma notícia não uma crítica.
      Essa vulnerabilidade era específica do IOS/iphones.
      Ah, pois é... :)

      O Carlos deduz, e bem, que existem vulnerabilidades semelhantes em outros sistemas...que têm os seus sistemas de correções.

      Feliz Natal

      Eliminar
    2. Essa gostei. O Pegasus da NSO só funciona no iOS ;-)
      Limitei-me a perguntar quando é que sai o patch para Android.
      Feliz Natal e Ano Novo.

      Eliminar
    3. Estás sempre a enviesar :)

      Não foi isso que estava na notícia nem o que eu estava dizer...

      A notícia estava a relatar a parte como o Pegasus afetava, em particular, o IOS (do qual sou utilizador).

      As falhas do IOS que o Pegasus explorava foram corrigidas. (o que é bom, pois é esse suporte que faz com que as pessoas [nas quais eu me incluo] fiquem na plataforma durante muito tempo).

      Limitei-me a declarar que era notícia e não uma crítica ao IOS :)

      Bom Ano Novo!

      Eliminar

[pub]