محققان فناوری اطلاعات در گوگل، بهره برداری جدید آیفون با «صفر کلیک» گروه NSO را «وحشتناک» اعلام کردند.
محققین پروژه صفر گوگل، ایان بیر و ساموئل گروس جزئیات مربوط به سوء استفاده جدید از گروه NSO را به عنوان "وحشتناک" به اشتراک گذاشتند، زیرا به کاربر این نرم افزار اجازه می دهد تا هر آیفونی را بدون اینکه قربانی انجام کاری انجام دهد، هک کند.
عجب. فقط وای این اکسپلویت iMessage بدون کلیک NSO تاثیرگذارترین کد حمله ای است که تا به حال دیده ام. کل معماری کامپیوتری که از چند عملگر منطقی ساخته شده است… در یک EXPLOIT!
استعداد افرادی که این تکنیک را توسعه دادند فراتر از چشمگیر است https://t.co/X3nVli3bOC
— دیمیتری آلپروویچ ( @DAlperovitch) 16 دسامبر 2021
ماه گذشته وزارت بازرگانی ایالات متحده همچنین شرکت فناوری اسرائیلی NSO Group را به "لیست موجودیت" خود اضافه کرد زیرا فاش شد که تلفن های هوشمند کارمندان وزارت خارجه ایالات متحده توسط هک شده اند. نرم افزار جاسوسی شرکت NSO جاسوسافزار Pegasus متعلق به NSO، آیفونهای شخصیتهای برجسته، از جمله خانواده سلطنتی عرب، خبرنگاران خبری، جمال کاشوگی و غیره را هدف قرار میدهد.
اپل همچنین علیه گروه NSO برای ممنوعیت استفاده از نرمافزارهای جاسوسی در دستگاههای خود شکایت کرده است. پس از تمام اتهامات، اسرائیل عرضه نرم افزارهای جاسوسی را تنها به چند کشور محدود کرد.
بهره برداری جدید با «صفر کلیک» NSO
تیم تحقیقاتی گوگل یک سوء استفاده جدید را تجزیه و تحلیل کرده است که iOS 14.7.1 را هدف قرار می دهد و به عنوان «در نظر گرفته می شود. یکی از پیچیدهترین اکسپلویتهای فنی» که تا به حال دیده شده است.
طبق گفتههای یان بیر و ساموئل گروس از GPZ:
«اکسپلویت یک محیط کامپیوتری شبیهسازیشده ایجاد میکند که محیط رایانهای را در یک مؤلفهای از IF استفاده میکند، معمولاً از قابلیت های اسکریپت پشتیبانی نمی کند. این اکسپلویت به مهاجم اجازه می دهد تا کدهای جاوا اسکریپت مانند را در آن مؤلفه اجرا کند تا در مکان های دلخواه حافظه بنویسد – و از راه دور آیفون را هک کند. «
پیش از این، در موارد سوء استفاده با یک کلیک، پیوندهایی در پیام های SMS به اهداف ارسال می شد و دستگاه تنها زمانی هک می شد که کاربر بر روی پیوند کلیک می کرد. ” width=”495″ height=”228″ />
اسکرین شات از پیامک فیشینگ با یک کلیک. (تصویر: CitizenLab)
سوء استفاده های یک کلیک به صفر کلیک تغییر یافته است، که در آن هر کسی می تواند از این نرم افزار برای هک کردن آیفون ها بدون اطلاع کاربر از نفوذ استفاده کند. در حملات با کلیک صفر، هیچ تعاملی از جانب کاربر مورد نیاز نیست – به این معنی که اکسپلویت بیصدا بر روی دستگاه در پسزمینه اجرا میشود.
نقطه ورود اولیه این اکسپلویت iMessage در آیفونها است به طوری که کاربران میتوانند فقط توسط آنها هدف قرار بگیرند. اپل آیدی یا شماره تلفن این آسیبپذیری زمانی بیشتر آشکار شد که اپل ویژگی جدیدی را برای تصاویر GIF معرفی کرد زیرا در فرهنگ میم بسیار محبوب هستند. اپل شروع به استفاده از یک ترفند «گیف جعلی» کرد که باعث میشود تصاویر معمولی GIF حلقه شوند. با این حال، این ترفند بیش از 20 کدک تصویر را نیز معرفی کرد و به مهاجمان پایگاه حمله بزرگی داد.
اپل گفت که آنها مسیر کد GIF اولیه را از iOS 15.0 حذف کرده اند، زیرا رمزگشایی GIF اکنون در BlastDoor انجام می شود. 19659004] طبق گفته محققان Google، " NSO از ترفند "gif جعلی" برای هدف قرار دادن یک آسیب پذیری در تجزیه کننده PDF CoreGraphics استفاده می کند. از NSO.
"به نظر نمی رسد تجزیه کننده PDF CoreGraphics جاوا اسکریپت را تفسیر کند، اما NSO موفق شد چیزی به همان اندازه قدرتمند در داخل تجزیه کننده PDF CoreGraphics پیدا کند…" GPZ اشاره کرد. JBIG2 اپل برای فشرده سازی و فشرده سازی تصاویر. علیرغم فقدان اسکریپت نویسی JBIG2، NSO یک محیط کامپیوتری را شبیه سازی کرد که به آنها اجازه می دهد تا آدرس های حافظه را با استفاده از یک زبان بنویسند، برخلاف جاوا اسکریپت. بیر و گروس توضیح میدهند که توانایی شبیهسازی مدارهای گیتهای منطقی دلخواه که بر روی حافظه دلخواه کار میکنند، . این سوء استفاده جدید به اندازه ابزار جاسوس افزار Pegasus که برای جاسوسی در نقاط مختلف جهان استفاده می شود وحشتناک است.