O NSO Group tem estado em sarilhos por culpa do seu spyware Pegasus que funcionava "bem demais". A proliferação dos casos em que foi usado, para espiar jornalistas, activistas, políticos e até presidentes - apesar da empresa assegurar que apenas o fornecia a entidades reconhecidas e com objectivo de perseguir criminosos e terroristas - tornou-o cada vez mais mediático, agora chegando a um ponto em que até a Apple avançou com um processo contra a empresa.
É simultaneamente impressionante e assustador descobrir a complexidade do sistema utilizado para infectar iPhones, que agora foi revelado por investigadores de segurança.
O ataque ideal para infecção por spyware é exactamente o mesmo que é procurado por quem cria vírus e malware: algo que possa infectar o dispositivo da vítima. Normalmente isso implica tentar enganá-lo de forma a que clique nalgum link, ou abra um documento, ou instale uma app; mas o ataque de sonho são aqueles que são designados por "zero-click", e que podem ser efectuados sem que seja necessária qualquer acção por parte da vítima, como é o caso do sistema usado pelo NSO Group.
Tudo começava com o envio daquilo que parecia ser um GIF para o iPhone da vítima via iMessage, usando o número de telefone da vítima ou username iCloud; só que esse GIF na verdade não era um GIF mas sim um PDF malicioso concebido para explorar uma vulnerabilidade no sistema CoreGraphics usado pelo iOS para processar as imagens - e que era activado sem que o utilizador tivesse sequer que abrir ou ver a mensagem. Através dessa vulnerabilidade o spyware Pegasus usava outro sistema para corromper a memória, dando-lhe acesso a zonas de memórias a que não deveria ter acesso. Com isso, o spyware conseguia criar uma mini-máquina virtual, isolada do sistema, através do qual o NSO Group podia fazer o download do resto do spyware e, a partir daí, ter total controlo sobre os iPhones das vítimas de forma praticamente impossível de detectar pelos utilizadores normais.
A Apple já corrigiu a vulnerabilidade no iOS 14.8, mas é tecnicamente possível que iPhones já infectados possam permanecer infectados mesmo após uma actualização, já que o spyware tem total controlo sobre o sistema, o que lhe dá a capacidade de potencialmente poder adulterar as próprias actualizações de forma a se manter activo. Apenas com uma limpeza total e instalação de um firmware completo da Apple (via DFU por exemplo) se poderá ficar com a garantia de limpeza do dispositivo.
E claro, o NSO Group tinha / tem sistemas idênticos para infectar Android, Windows, Macs... e podemos também assumir que existirão outras empresas, ou entidades, que poderão ter capacidade idêntica mas que não fazem publicidade a isso.
Infelizmente, basta olhar para a quantidade de actualizações que recebemos mensalmente, com intermináveis "correcções de segurança", para perceber que este tipo de ameaça não irá desaparecer tão cedo.
A correção para iOS saiu a 26 de outubro.
ResponderEliminarE para Android & fabricantes sai quando?
Ah, pois é ...
Era uma notícia não uma crítica.
EliminarEssa vulnerabilidade era específica do IOS/iphones.
Ah, pois é... :)
O Carlos deduz, e bem, que existem vulnerabilidades semelhantes em outros sistemas...que têm os seus sistemas de correções.
Feliz Natal
Essa gostei. O Pegasus da NSO só funciona no iOS ;-)
EliminarLimitei-me a perguntar quando é que sai o patch para Android.
Feliz Natal e Ano Novo.
Estás sempre a enviesar :)
EliminarNão foi isso que estava na notícia nem o que eu estava dizer...
A notícia estava a relatar a parte como o Pegasus afetava, em particular, o IOS (do qual sou utilizador).
As falhas do IOS que o Pegasus explorava foram corrigidas. (o que é bom, pois é esse suporte que faz com que as pessoas [nas quais eu me incluo] fiquem na plataforma durante muito tempo).
Limitei-me a declarar que era notícia e não uma crítica ao IOS :)
Bom Ano Novo!