Вчера Apple неожиданно для всех выпустила очередную версию прошивки в виде iOS 9.3.5, которая исправляет несколько уязвимостей в системе безопасности и перекрывает доступ к данным пользователей вирусу под названием ‘Pegasus’. Вирусу, который компания NSO Group продает по цене более миллиона долларов и который обязан отрабатывать потраченные деньги слежкой за диссидентами и слишком активными по мнению некоторых внутригосударственных органов журналистами.
По материалу главного редактора iMore Рене Ричи.
Правозащитник Ахмед Мансур из ОАЭ получил подозрительное сообщение на свой iPhone и тщательно исследовал его, что привело к выпуску Apple обновления в виде iOS 9.3.5, которая закрыла три “уязвимости нулевого дня” (вредоносные программы/неустраненные уязвимости, против которых еще не разработаны защитные механизмы – wiki) в iOS.
По материалам Citizen Lab:
Ахмед Мансур — защитник прав человека, получивший премию Мартина Энналса (еще известную как “Нобелевская премия в области прав человека”). 10 и 11 августа 2016 года Мансур получил несколько текстовых сообщений, которые обещали раскрыть “секреты” заключенных, которых пытают в тюрьмах ОАЭ, если он перейдет по прикрепленной в сообщениях ссылке. Вместо перехода по линку Мансур отправил сообщения в исследовательский центр Citizen Lab, где и была обнаружена связь полученных ссылок с NSO Group, израильской “кибервоенной” компанией, занимающейся продажей шпионской программы “Pegasus”. Сообщается, что NSO Group принадлежит американской венчурной компании Francisco Partners Management (ей же раньше принадлежала израильская LYNX, а сейчас в состав входит Dell Software – прим. ред).
Совместное исследование Citizen Lab и Lookout Security показало, что ссылки из сообщений приводят к цепи “нулевых уязвимостей”, с помощью которых можно удаленно взломать iPhone 6 Мансура и установить специальный софт для слежки. Цепь из таких нулевых уязвимостей называется Trident. Поразив iPhone однажды, устройство становится “цифровым шпионом” в кармане владельца — вредоносные программы могут использовать камеру и микрофон смартфона для записи активности пользователя вне рамок цифровых технологий, а помимо этого еще и отправлять злоумышленникам логи переписок в мессенджерах вроде WhatsApp или Viber, а также следить за местоположением владельца и прослушивать звонки.
Если говорить проще — злоумышленники удаленно установили джейлбрейк на устройство Мансура. Помните, в первые годы после выхода iOS была возможность взломать свой iPhone с помощью тапа по обычной ссылке, которая скачивала из браузера Safari на устройство изображение формата TIF? Ситуация похожа. Конечно, сейчас эту уязвимость прикрыли, но разрабатывая все новые и новые функции, имея дело с миллионами строк кода, разработчики iOS могут упустить какую-то мелочь из вида, что непременно приведет к описанному выше исходу.
Работу Pegasus описали в Lookout Security так:
Анализ Lookout показал, что вирус использует три нулевых уязвимости (Trident) в iOS:
- CVE-2016-4655: Утечка информации в ядре — позволяет вирусу просчитать расположение ядра в памяти.
- CVE-2016-4656: Проникновение в память ядра приводит к джейлбрейку — уязвимости на уровне ядра позволяют произвести “тихий” взлом и установить собственное вредоносное ПО.
- CVE-2016-4657: Уязвимость в Safari WebKit позволяет злоумышленникам проникнуть внутрь памяти с помощью обычной веб-ссылки.
Атака злоумышленников предполагает переход по ссылке, которая оказывается пустышкой — вместо заинтересовавшей владельца информации на устройство устанавливается вредоносное ПО, поражающее ядро iOS. Стоит ли опасаться обычным пользователям? Не стоит. Эта атака была спланирована с целью получения важной и очень дорогой информации о диссидентах, а также журналистах, которые поддерживают их. Если это описание тебя не касается — поводов переживать почти нет.
Но обновить устройство рекомендуется — в каждом обновлении Apple исправляет множество ошибок и закрывает несколько критических уязвимостей, которые приводят к не очень веселым последствиям. Так зачем рисковать?