Ključni podaci za van
- Analizom špijunskog skandala koji je otkrio Citizen Lab, Googleovi sigurnosni istraživači otkrili su novi mehanizam napada poznat kao zero-click exploit.
- Tradicionalni sigurnosni alati poput antivirusa ne mogu spriječiti iskorištavanje bez klika.
- Apple je zaustavio jedan, ali istraživači strahuju da će u budućnosti biti više eksploatacija bez klikova.
Slijeđenje najboljih sigurnosnih praksi smatra se razboritim načinom radnje za očuvanje sigurnosti uređaja poput prijenosnih računala i pametnih telefona, ili je tako bilo sve dok istraživači nisu otkrili novi trik koji se praktički ne može otkriti.
Dok su secirali nedavno zakrpanu Apple bug koja je korištena za instaliranje Pegasus spywarea na određene mete, sigurnosni istraživači iz Googleovog Project Zero otkrili su inovativni novi mehanizam napada koji su nazvali "iskorištavanje bez klika, " to nijedan mobilni antivirus ne može spriječiti.
"Osim nekorištenja uređaja, ne postoji način da se spriječi iskorištavanje 'iskorištavanjem bez klika;' to je oružje protiv kojeg nema obrane," tvrde inženjeri Google Project Zero Ian Beer i Samuel Groß u postu na blogu.
Frankensteinovo čudovište
Špijunski softver Pegasus zamisao je NSO grupe, izraelske tehnološke tvrtke koja je sada dodana na američki "List subjekata", što ga zapravo blokira na američkom tržištu.
"Nije jasno koje je razumno objašnjenje privatnosti na mobilnom telefonu, gdje često obavljamo vrlo osobne pozive na javnim mjestima. Ali svakako ne očekujemo da nas netko sluša na telefonu, iako je to ono što Pegasus omogućuje ljudima da rade", objasnio je Saryu Nayyar, izvršni direktor tvrtke za kibernetičku sigurnost Gurucul, u e-poruci Lifewireu.
Kao krajnji korisnici, uvijek bismo trebali biti oprezni pri otvaranju poruka iz nepoznatih ili nepouzdanih izvora, bez obzira koliko primamljivi bili predmet ili poruka…
Špijunski softver Pegasus došao je u središte pozornosti u srpnju 2021., kada je Amnesty International otkrio da se koristio za špijuniranje novinara i aktivista za ljudska prava diljem svijeta.
Ovo je bilo popraćeno otkrićem istraživača iz Citizen Laba u kolovozu 2021., nakon što su pronašli dokaze nadzora na iPhoneu 12 Pro devet bahreinskih aktivista putem exploita koji je izbjegao najnoviju sigurnosnu zaštitu u iOS-u 14 pod zajedničkim nazivom BlastDoor.
U stvari, Apple je podnio tužbu protiv NSO grupe, smatrajući je odgovornom za zaobilaženje sigurnosnih mehanizama iPhonea za nadzor Appleovih korisnika putem svog Pegasus spywarea.
"Glumci koje sponzorira država poput NSO grupe troše milijune dolara na sofisticirane tehnologije nadzora bez učinkovite odgovornosti. To se mora promijeniti, " rekao je Craig Federighi, Appleov viši potpredsjednik softverskog inženjerstva, u priopćenju za javnost o tužbi.
U dvodijelnom postu Google Project Zero, Beer i Groß objasnili su kako je NSO Group stavila špijunski softver Pegasus na iPhonee meta koristeći mehanizam napada bez klika, koji su opisali i kao nevjerojatan i zastrašujući.
Iskorišćavanje bez klika točno je ono što zvuči - žrtve ne moraju ništa kliknuti ili dodirnuti da bi bile ugrožene. Umjesto toga, jednostavni pregled e-pošte ili poruke s priloženim zlonamjernim softverom omogućuje njegovu instalaciju na uređaj.
Impresivno i opasno
Prema istraživačima, napad počinje zlobnom porukom u aplikaciji iMessage. Kako bi nam pomogao razbiti prilično složenu metodologiju napada koju su osmislili hakeri, Lifewire je zatražio pomoć neovisnog istraživača sigurnosti Devananda Premkumara.
Premkumar je objasnio da iMessage ima nekoliko ugrađenih mehanizama za rukovanje animiranim-g.webp
"Kao krajnji korisnici, uvijek bismo trebali biti oprezni pri otvaranju poruka iz nepoznatih ili nepouzdanih izvora, bez obzira na to koliko primamljivi bili predmet ili poruka, jer se to koristi kao primarna ulazna točka u mobilni telefon, " Premkumar je savjetovao Lifewire u e-poruci.
Premkumar je dodao da je poznato da trenutni mehanizam napada radi samo na iPhone uređajima dok je prolazio kroz korake koje je Apple poduzeo kako bi uklonio trenutnu ranjivost. No dok je trenutni napad ograničen, mehanizam napada otvorio je Pandorinu kutiju.
"Zero-click eksploatacije neće uskoro nestati. Bit će sve više i više takvih zero-click eksploatacija testiranih i postavljenih protiv visokoprofilnih ciljeva za osjetljive i vrijedne podatke koji se mogu izvući iz mobilnih telefona tako eksploatiranih korisnika, " rekao je Premkumar.
U međuvremenu, uz tužbu protiv NSO-a, Apple je odlučio pružiti tehničku pomoć, pomoć u obavještavanju prijetnji i inženjering istraživačima Citizen Laba pro-bono i obećao je ponuditi istu pomoć drugim organizacijama koje obavljaju kritičan posao u ovom prostoru.
Osim toga, tvrtka je uložila 10 milijuna dolara, kao i svu odštetu dodijeljenu iz tužbe, za podršku organizacijama uključenim u zagovaranje i istraživanje zlouporaba cyber-nadzora.
