- Durante a análise do iPhone de um funcionário de uma organização internacional da sociedade civil com base em Washington, DC, foi descoberta uma vulnerabilidade ativamente explorada que entregava o spyware Pegasus do NSO Group
- Essa cadeia de exploit, chamada de BLASTPASS pelo Citizen Lab, conseguia comprometer iPhones com o iOS 16.6 mais recente sem qualquer interação da vítima
- Os atacantes tentaram uma infecção zero-click enviando pelo iMessage um anexo PassKit contendo uma imagem maliciosa, e o Citizen Lab anunciou que divulgará uma análise adicional
- O Citizen Lab compartilhou imediatamente a descoberta com a Apple, e a empresa atribuiu CVE-2023-41064 e CVE-2023-41061 às vulnerabilidades relacionadas
- As atualizações da Apple se aplicam a iPhone, iPad, Mac e Apple Watch, e o Citizen Lab e a equipe Apple Security Engineering and Architecture avaliam que o Lockdown Mode bloqueia esse ataque
Cadeia de exploit BLASTPASS
- O Citizen Lab descobriu uma vulnerabilidade zero-click em exploração real enquanto analisava o dispositivo de um funcionário de uma organização da sociedade civil com base em Washington, DC, e escritórios internacionais
- A vulnerabilidade era usada para entregar o spyware mercenário Pegasus do NSO Group
- O Citizen Lab deu a essa cadeia de exploit o nome de BLASTPASS
- O BLASTPASS conseguia comprometer iPhones rodando o iOS 16.6 mais recente sem qualquer interação da vítima
- O ataque consistia no envio de um anexo PassKit da conta iMessage do atacante para a vítima
- O anexo continha uma imagem maliciosa
- A documentação relacionada pode ser consultada em PassKit
- O Citizen Lab pretende divulgar futuramente uma discussão mais detalhada sobre a cadeia de exploit
Divulgação à Apple e CVEs
- O Citizen Lab compartilhou imediatamente a descoberta com a Apple e cooperou com a investigação da empresa
- A Apple atribuiu dois CVEs relacionados a essa cadeia de exploit
-
CVE-2023-41064
- CVE-2023-41061
-
Atualize imediatamente e use o Lockdown Mode
- O Citizen Lab recomenda que todos os usuários atualizem seus dispositivos imediatamente
- A Apple publicou atualizações para seus produtos, incluindo iPhone, iPad, Mac e Apple Watch
- Usuários que possam estar expostos a risco maior por causa de sua identidade ou atividades são aconselhados a ativar o Lockdown Mode
- O Citizen Lab e a equipe Apple Security Engineering and Architecture avaliam que o Lockdown Mode bloqueia esse ataque específico
- O Citizen Lab avaliou positivamente a rapidez da resposta investigativa da Apple e seu ciclo de correção, além de reconhecer a cooperação e o apoio da vítima e da organização à qual ela pertence
O que o alvo na sociedade civil sinaliza para a segurança
- Esta descoberta reforça que a sociedade civil continua sendo alvo de exploits sofisticados e spyware mercenário
- As atualizações da Apple ajudam a proteger dispositivos de usuários comuns, empresas e governos no mundo todo
- A descoberta do BLASTPASS destaca que apoiar organizações da sociedade civil tem grande valor para a cibersegurança coletiva
Histórico de atualização
- A publicação foi atualizada em 7 de setembro às 17h42 no horário da costa leste dos EUA
- A atualização refletiu que a equipe Apple Security Engineering and Architecture e o Citizen Lab avaliam que o Lockdown Mode bloqueia esse ataque específico
1 comentários
Opiniões no Hacker News
Fala-se muito sobre Apple e software, mas muito pouco sobre por que o NSO Group consegue existir.
Eles atuam quase publicamente e nem parecem ter vergonha. Caso contrário, não colocariam isso no currículo: https://www.linkedin.com/company/nso-group/people/
Olhando para isso, parece que a “comunidade de tecnologia” aceita com facilidade demais esse tipo de uso da tecnologia. Aquela mesma tecnologia que acreditamos que “vai tornar o mundo melhor”.
A NSO parece contar com apoio do governo de Israel. Eles dizem que só vendem para governos previamente avaliados, mas, na prática, muitas vezes vendem para países autoritários que vigiam e perseguem pessoas que se opõem ao regime.
O motivo pelo qual o NSO Group é ruim é que ele vendeu para regimes opressores e há suspeitas de que tenha ajudado ativamente esses regimes a distribuir o software para prejudicar civis inocentes. Por esses atos, intenções e falhas na gestão de responsabilidade, deveria sofrer sanções e, se não me falha a memória, já está sob sanções.
Dito isso, há muitas exceções, como a necessidade de vendedor e comprador agirem de boa-fé e planejarem usar apenas de acordo com a lei. Isto não é aconselhamento jurídico.
Como não há motivo para esperar que o mundo vá se desarmar em breve, o melhor é ter consciência disso, influenciar democraticamente as políticas e eliminar ideias ruins e agentes ruins.
Israel continua tentando atrair a Arábia Saudita para formar alianças em uma possível guerra contra o Irã. Para obter passagem pelo espaço aéreo saudita, certamente sacrificaria alguns ativistas de direitos humanos. Dito isso, ultimamente as coisas não parecem estar indo muito bem para Israel.
Na realidade, a comunidade de tecnologia é muito diversa e nada coesa. Por exemplo, muitos desenvolvedores mal conseguem cobrir o custo de vida básico, então nem têm disponibilidade mental para saber o que é a NSO.
É interessante como há uma ênfase exagerada em dizer que o Lockdown Mode não deve ser usado a menos que você seja jornalista ou esteja sob risco direto e evidente. Na prática, para o usuário, a diferença de funcionalidades não é tão grande; ele basicamente desativa várias coisas desnecessárias da Apple que rodam em segundo plano e ampliam a superfície de ataque.
Mesmo assim, todo mundo repete a ressalva de que “não é para qualquer um usar, só pessoas especiais devem usar”. Não é um recurso escasso nem um jogo de soma zero. Pelo contrário: se todo mundo usasse, muitos recursos sem benefício para o usuário seriam desligados, a bateria poderia durar mais e, quanto mais gente usasse, mais difícil seria usá-lo para identificar usuários específicos.
A Apple provavelmente quer evitar que o iOS pareça mais lento ou travado que o Android. Além disso, spyware zero-day geralmente mira pessoas importantes, não vigilância em massa, então o risco real para indivíduos é pequeno.
Seria bom haver um modo intermediário entre os dois. Algo como permitir reduzir a segurança por alguns minutos quando algum recurso for necessário. Por exemplo, se o Safari detectar que o JavaScript está lento, poderia perguntar se você quer reativar o JIT.
Do ponto de vista da política real, é possível que regimes repressivos tenham permitido que a Apple lançasse dispositivos com esse recurso sob a condição de não promovê-lo ativamente nem torná-lo padrão. Se o Lockdown Mode viesse ativado por padrão na China e a maioria das pessoas o usasse, a Apple seria rapidamente expulsa da China.
Também não percebi diferença no conteúdo da web, talvez porque eu use Firefox/Chrome em vez do Safari. O que eu realmente quero são opções. Por exemplo, no iOS eu uso álbuns de fotos compartilhados, então gostaria de poder manter esse recurso e desligar apenas os outros.
Para começar, o Continuity parece praticamente quebrar, e é um recurso do qual eu pessoalmente dependo bastante. O AirPlay também ficou bem instável.
Tudo isso poderia ser problema de rede, mas só começou depois que mudei para o Lockdown Mode. Além disso, pedidos de Tempo de Uso não funcionarem também é bastante inconveniente.
Quantas vulnerabilidades o iMessage já teve até hoje?
Já não está na hora de permitir que a primeira mensagem de um novo contato seja apenas texto puro e, nas demais mensagens, permitir só um subconjunto bem limitado, em vez de um sistema de extensões maluco que não é muito diferente do ActiveX?
Também vale considerar rodar o app inteiro em sandbox e, como camada adicional de proteção, tratar tudo via WebView
O iMessage deveria ter exatamente o mesmo comportamento pelo mesmo motivo. É frustrante ver gerentes de produto gananciosos que trabalham no mesmo prédio reaprendendo as lições que a geração anterior aprendeu com sofrimento
A resposta não deveria ser “vamos deixar de renderizar imagens”. Componentes que fazem parsing de dados externos, como imagens, precisam ser confiáveis no sentido de que não possam realizar ações maliciosas, qualquer que seja a entrada
Se for preciso sandboxing, que façam isso; se for preciso reescrever todos os parsers de imagem do zero em uma linguagem segura ou provar formalmente a correção, que façam isso. A Apple tem dinheiro suficiente para bancar seu próprio programa espacial dez vezes, então também deveria conseguir criar uma biblioteca de imagens comprovavelmente segura
No iMessage houve um pequeno número de exploits, licenciados por lugares como a NSO, a preços extremamente altos, para um punhado minúsculo de atores estatais de má qualidade, usados em ataques altamente direcionados e de altíssimo risco
Encontrei. Para quem tiver interesse: no iPhone, vá em Settings, toque em Messages e coloque iMessage em Off
De novo um estouro de buffer na decodificação de imagens; soa parecido com a vulnerabilidade de 2021 [1]
Aquela foi realmente impressionante. Eles criaram uma CPU usando as operações primitivas fornecidas por um formato obscuro de compressão de imagem embutido em um PDF, realizando operações aritméticas suficientes para escalar para execução arbitrária de código
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
Não me entendam mal. Acho JPEG-XL uma boa ideia, mas, para quem pergunta “qual é o problema de suportar mais um formato de imagem?”, esta é a resposta
A correção saiu hoje e parece ter sido sincronizada com o anúncio, então é preciso verificar se você e as pessoas ao seu redor atualizaram
https://support.apple.com/en-us/HT201222
Pelo que sei, todo o código de parsing do iMessage deveria rodar dentro da sandbox BlastDoor; será que há outra vulnerabilidade encadeada que não foi divulgada?
Colocar o NSO Group na lista negra do Departamento de Comércio claramente não foi suficiente. Esse lixo deveria ir para Haia, pelo menos metaforicamente
Se você tem curiosidade sobre NSO Group, Pegasus e Citizen Lab, o episódio 100 do podcast Darknet Diaries faz uma boa recapitulação histórica
Link para quem tiver interesse: https://darknetdiaries.com/episode/100/
Precisamos de um Lockdown Mode mais granular. Por exemplo, desligar automações e fatores de risco do iMessage e do Safari, mas manter acessórios do dispositivo funcionando
Não é bom perder até acessórios Bluetooth só para se proteger de exploits zero click do iMessage. O iMessage é a superfície de ataque mais amplamente aberta
Por exemplo, Settings > Messages > iMessage é um botão que você pode desligar se achar que o iMessage é o problema
Em Settings > Safari > Privacy and security também há várias configurações para aplicar bloqueios mais granulares ao Safari
Fico curioso se o Lockdown Mode teria bloqueado esse ataque
Até agora, algum iPhone em Lockdown Mode já foi hackeado por uma vulnerabilidade zero-day? Excluindo casos em que enganaram o usuário para instalar um programa malicioso
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
Link do CL: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
Thread relacionada em andamento:
iOS 16.6.1 corrige duas vulnerabilidades conhecidas por estarem sendo ativamente exploradas em campo - https://news.ycombinator.com/item?id=37423506 - setembro de 2023, 7 comentários