1 pontos por GN⁺ 2023-09-08 | 1 comentários | Compartilhar no WhatsApp
  • Durante a análise do iPhone de um funcionário de uma organização internacional da sociedade civil com base em Washington, DC, foi descoberta uma vulnerabilidade ativamente explorada que entregava o spyware Pegasus do NSO Group
  • Essa cadeia de exploit, chamada de BLASTPASS pelo Citizen Lab, conseguia comprometer iPhones com o iOS 16.6 mais recente sem qualquer interação da vítima
  • Os atacantes tentaram uma infecção zero-click enviando pelo iMessage um anexo PassKit contendo uma imagem maliciosa, e o Citizen Lab anunciou que divulgará uma análise adicional
  • O Citizen Lab compartilhou imediatamente a descoberta com a Apple, e a empresa atribuiu CVE-2023-41064 e CVE-2023-41061 às vulnerabilidades relacionadas
  • As atualizações da Apple se aplicam a iPhone, iPad, Mac e Apple Watch, e o Citizen Lab e a equipe Apple Security Engineering and Architecture avaliam que o Lockdown Mode bloqueia esse ataque

Cadeia de exploit BLASTPASS

  • O Citizen Lab descobriu uma vulnerabilidade zero-click em exploração real enquanto analisava o dispositivo de um funcionário de uma organização da sociedade civil com base em Washington, DC, e escritórios internacionais
  • A vulnerabilidade era usada para entregar o spyware mercenário Pegasus do NSO Group
  • O Citizen Lab deu a essa cadeia de exploit o nome de BLASTPASS
  • O BLASTPASS conseguia comprometer iPhones rodando o iOS 16.6 mais recente sem qualquer interação da vítima
  • O ataque consistia no envio de um anexo PassKit da conta iMessage do atacante para a vítima
    • O anexo continha uma imagem maliciosa
    • A documentação relacionada pode ser consultada em PassKit
  • O Citizen Lab pretende divulgar futuramente uma discussão mais detalhada sobre a cadeia de exploit

Divulgação à Apple e CVEs

  • O Citizen Lab compartilhou imediatamente a descoberta com a Apple e cooperou com a investigação da empresa
  • A Apple atribuiu dois CVEs relacionados a essa cadeia de exploit
    • CVE-2023-41064

      • CVE-2023-41061

Atualize imediatamente e use o Lockdown Mode

  • O Citizen Lab recomenda que todos os usuários atualizem seus dispositivos imediatamente
  • A Apple publicou atualizações para seus produtos, incluindo iPhone, iPad, Mac e Apple Watch
  • Usuários que possam estar expostos a risco maior por causa de sua identidade ou atividades são aconselhados a ativar o Lockdown Mode
  • O Citizen Lab e a equipe Apple Security Engineering and Architecture avaliam que o Lockdown Mode bloqueia esse ataque específico
  • O Citizen Lab avaliou positivamente a rapidez da resposta investigativa da Apple e seu ciclo de correção, além de reconhecer a cooperação e o apoio da vítima e da organização à qual ela pertence

O que o alvo na sociedade civil sinaliza para a segurança

  • Esta descoberta reforça que a sociedade civil continua sendo alvo de exploits sofisticados e spyware mercenário
  • As atualizações da Apple ajudam a proteger dispositivos de usuários comuns, empresas e governos no mundo todo
  • A descoberta do BLASTPASS destaca que apoiar organizações da sociedade civil tem grande valor para a cibersegurança coletiva

Histórico de atualização

  • A publicação foi atualizada em 7 de setembro às 17h42 no horário da costa leste dos EUA
  • A atualização refletiu que a equipe Apple Security Engineering and Architecture e o Citizen Lab avaliam que o Lockdown Mode bloqueia esse ataque específico

1 comentários

 
GN⁺ 2023-09-08
Opiniões no Hacker News
  • Fala-se muito sobre Apple e software, mas muito pouco sobre por que o NSO Group consegue existir.
    Eles atuam quase publicamente e nem parecem ter vergonha. Caso contrário, não colocariam isso no currículo: https://www.linkedin.com/company/nso-group/people/
    Olhando para isso, parece que a “comunidade de tecnologia” aceita com facilidade demais esse tipo de uso da tecnologia. Aquela mesma tecnologia que acreditamos que “vai tornar o mundo melhor”.

    • Há um bom documentário da PBS sobre a NSO, do Pegasus: https://www.pbs.org/wgbh/frontline/documentary/global-spywar...
      A NSO parece contar com apoio do governo de Israel. Eles dizem que só vendem para governos previamente avaliados, mas, na prática, muitas vezes vendem para países autoritários que vigiam e perseguem pessoas que se opõem ao regime.
    • A NSO diz que mira apenas “terroristas e criminosos”, então, se você é um cidadão que obedece à lei e não tem nada a esconder, não há com o que se preocupar, certo? Afinal, não existe no mundo um regime que acuse alguém de ser criminoso ou terrorista só por fazer jornalismo investigativo ou política de oposição.
    • Entre empresas dos EUA, vender malware/armas de software é em geral legal, com a grande exceção de que, se cair sob regulamentação ITAR, só pode ser vendido ao governo dos EUA ou a fornecedores aprovados pelo ITAR, a menos que seja open source.
      O motivo pelo qual o NSO Group é ruim é que ele vendeu para regimes opressores e há suspeitas de que tenha ajudado ativamente esses regimes a distribuir o software para prejudicar civis inocentes. Por esses atos, intenções e falhas na gestão de responsabilidade, deveria sofrer sanções e, se não me falha a memória, já está sob sanções.
      Dito isso, há muitas exceções, como a necessidade de vendedor e comprador agirem de boa-fé e planejarem usar apenas de acordo com a lei. Isto não é aconselhamento jurídico.
    • Muitas dessas coisas são classificadas como armas, então, na prática, é mais como se fossem vendidas pelo governo israelense do que por uma empresa. Não é diferente de MANPADS, que podem ser usados para derrubar um Ka-52 na Ucrânia ou para derrubar um avião civil de passageiros, e cujo destino é determinado pela política externa do país fabricante e por suas falhas.
      Como não há motivo para esperar que o mundo vá se desarmar em breve, o melhor é ter consciência disso, influenciar democraticamente as políticas e eliminar ideias ruins e agentes ruins.
      Israel continua tentando atrair a Arábia Saudita para formar alianças em uma possível guerra contra o Irã. Para obter passagem pelo espaço aéreo saudita, certamente sacrificaria alguns ativistas de direitos humanos. Dito isso, ultimamente as coisas não parecem estar indo muito bem para Israel.
    • Dá a impressão de que algumas pessoas veem a “comunidade de tecnologia” como um grupo coeso com capacidade organizacional para se mover em uma direção específica.
      Na realidade, a comunidade de tecnologia é muito diversa e nada coesa. Por exemplo, muitos desenvolvedores mal conseguem cobrir o custo de vida básico, então nem têm disponibilidade mental para saber o que é a NSO.
  • É interessante como há uma ênfase exagerada em dizer que o Lockdown Mode não deve ser usado a menos que você seja jornalista ou esteja sob risco direto e evidente. Na prática, para o usuário, a diferença de funcionalidades não é tão grande; ele basicamente desativa várias coisas desnecessárias da Apple que rodam em segundo plano e ampliam a superfície de ataque.
    Mesmo assim, todo mundo repete a ressalva de que “não é para qualquer um usar, só pessoas especiais devem usar”. Não é um recurso escasso nem um jogo de soma zero. Pelo contrário: se todo mundo usasse, muitos recursos sem benefício para o usuário seriam desligados, a bateria poderia durar mais e, quanto mais gente usasse, mais difícil seria usá-lo para identificar usuários específicos.

    • O iOS fica um pouco menos conveniente. Por exemplo, ao adicionar pessoas entre si no iMessage, e o desempenho de JavaScript no Safari também cai bastante.
      A Apple provavelmente quer evitar que o iOS pareça mais lento ou travado que o Android. Além disso, spyware zero-day geralmente mira pessoas importantes, não vigilância em massa, então o risco real para indivíduos é pequeno.
      Seria bom haver um modo intermediário entre os dois. Algo como permitir reduzir a segurança por alguns minutos quando algum recurso for necessário. Por exemplo, se o Safari detectar que o JavaScript está lento, poderia perguntar se você quer reativar o JIT.
    • Se as pessoas não quisessem usar recursos em segundo plano, eles nem teriam sido incluídos. Não surpreende que a Apple queira que os usuários usem os recursos que ela colocou intencionalmente, sejam eles “inúteis” ou não.
    • Do ponto de vista capitalista, se a Apple não enfatizar isso com força, um cliente novo da Apple poderia ativar o Lockdown Mode por padrão por recomendação de amigos ou familiares preocupados, depois reclamar com a Apple porque os recursos anunciados não funcionam, ou devolver o aparelho.
      Do ponto de vista da política real, é possível que regimes repressivos tenham permitido que a Apple lançasse dispositivos com esse recurso sob a condição de não promovê-lo ativamente nem torná-lo padrão. Se o Lockdown Mode viesse ativado por padrão na China e a maioria das pessoas o usasse, a Apple seria rapidamente expulsa da China.
    • No Mac, uso o Lockdown Mode ativado porque não uso iMessage, FaceTime nem outros serviços da Apple. Na prática, é só um computador para desenvolvimento de software e vídeos do YouTube.
      Também não percebi diferença no conteúdo da web, talvez porque eu use Firefox/Chrome em vez do Safari. O que eu realmente quero são opções. Por exemplo, no iOS eu uso álbuns de fotos compartilhados, então gostaria de poder manter esse recurso e desligar apenas os outros.
    • Ao ativar o Lockdown Mode, muita coisa ficou estranha.
      Para começar, o Continuity parece praticamente quebrar, e é um recurso do qual eu pessoalmente dependo bastante. O AirPlay também ficou bem instável.
      Tudo isso poderia ser problema de rede, mas só começou depois que mudei para o Lockdown Mode. Além disso, pedidos de Tempo de Uso não funcionarem também é bastante inconveniente.
  • Quantas vulnerabilidades o iMessage já teve até hoje?
    Já não está na hora de permitir que a primeira mensagem de um novo contato seja apenas texto puro e, nas demais mensagens, permitir só um subconjunto bem limitado, em vez de um sistema de extensões maluco que não é muito diferente do ActiveX?
    Também vale considerar rodar o app inteiro em sandbox e, como camada adicional de proteção, tratar tudo via WebView

    • Já existe um precedente aplicado de forma transparente. O cliente Apple Mail não renderiza mídia de remetentes desconhecidos sem confirmação do usuário
      O iMessage deveria ter exatamente o mesmo comportamento pelo mesmo motivo. É frustrante ver gerentes de produto gananciosos que trabalham no mesmo prédio reaprendendo as lições que a geração anterior aprendeu com sofrimento
    • Não dá para acreditar que isso ainda se repita. Quando se fala em “zero click”, dá para saber que é algum payload complexo, como imagem ou fonte
      A resposta não deveria ser “vamos deixar de renderizar imagens”. Componentes que fazem parsing de dados externos, como imagens, precisam ser confiáveis no sentido de que não possam realizar ações maliciosas, qualquer que seja a entrada
      Se for preciso sandboxing, que façam isso; se for preciso reescrever todos os parsers de imagem do zero em uma linguagem segura ou provar formalmente a correção, que façam isso. A Apple tem dinheiro suficiente para bancar seu próprio programa espacial dez vezes, então também deveria conseguir criar uma biblioteca de imagens comprovavelmente segura
    • Isso é muito diferente de ActiveX. No ActiveX, centenas de exploits circulavam livremente nos cantos obscuros da Usenet, e script kiddies típicos de porão os exploravam contra computadores do mundo todo
      No iMessage houve um pequeno número de exploits, licenciados por lugares como a NSO, a preços extremamente altos, para um punhado minúsculo de atores estatais de má qualidade, usados em ataques altamente direcionados e de altíssimo risco
    • Todos os processos no iOS rodam em sandbox. É por isso que criar exploits desse tipo é tão difícil
    • Fiquei me perguntando se dá para realmente desligar o iMessage no iPhone. Hoje só uso WhatsApp e não tenho interesse em SMS reforçado
      Encontrei. Para quem tiver interesse: no iPhone, vá em Settings, toque em Messages e coloque iMessage em Off
  • De novo um estouro de buffer na decodificação de imagens; soa parecido com a vulnerabilidade de 2021 [1]
    Aquela foi realmente impressionante. Eles criaram uma CPU usando as operações primitivas fornecidas por um formato obscuro de compressão de imagem embutido em um PDF, realizando operações aritméticas suficientes para escalar para execução arbitrária de código
    [1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...

    • Também me lembro do bug de renderização de TIF no iOS 4 usado antigamente pelo jailbreakme.com. Era legal apertar um botão no Safari e ver o iPod touch reiniciar com o Cydia instalado
    • Por isso passo a entender melhor por que o Chrome ainda não adotou JPEG-XL
      Não me entendam mal. Acho JPEG-XL uma boa ideia, mas, para quem pergunta “qual é o problema de suportar mais um formato de imagem?”, esta é a resposta
    • De novo um buffer overflow na decodificação de imagens. Dá para imaginar que a Apple faria modelagem de ameaças e rodaria fuzzing até o fim, mas não. Uma empresa com valor de mercado de US$ 2,7 trilhões não consegue fazer isso
    • Talvez seja uma pergunta idiota, mas por que decodificadores de mídia, notoriamente de alto risco, não estão bem isolados em sandbox?
    • Não entendo muito de segurança, mas acho que nunca vou esquecer isso. É fascinante
  • A correção saiu hoje e parece ter sido sincronizada com o anúncio, então é preciso verificar se você e as pessoas ao seu redor atualizaram
    https://support.apple.com/en-us/HT201222

    • Curiosamente, não há menção a algo como vulnerabilidade de kernel
      Pelo que sei, todo o código de parsing do iMessage deveria rodar dentro da sandbox BlastDoor; será que há outra vulnerabilidade encadeada que não foi divulgada?
    • Fico me perguntando por que ainda não há correção para iOS 15. O iOS 15 não é vulnerável a esse ataque? Ou backports de correções de segurança costumam atrasar e eu não sabia? Se for o caso, devo aplicar alguma mitigação para bloquear esse exploit?
  • Colocar o NSO Group na lista negra do Departamento de Comércio claramente não foi suficiente. Esse lixo deveria ir para Haia, pelo menos metaforicamente

  • Se você tem curiosidade sobre NSO Group, Pegasus e Citizen Lab, o episódio 100 do podcast Darknet Diaries faz uma boa recapitulação histórica

  • Precisamos de um Lockdown Mode mais granular. Por exemplo, desligar automações e fatores de risco do iMessage e do Safari, mas manter acessórios do dispositivo funcionando
    Não é bom perder até acessórios Bluetooth só para se proteger de exploits zero click do iMessage. O iMessage é a superfície de ataque mais amplamente aberta

    • O iMessage também é uma parte importante do fosso da Apple. É improvável que a Apple permita apps alternativos de mensagens de bolha verde que talvez sejam mais seguros
    • Em Settings, já há configurações para “ajustar o Lockdown Mode” ao seu gosto
      Por exemplo, Settings > Messages > iMessage é um botão que você pode desligar se achar que o iMessage é o problema
      Em Settings > Safari > Privacy and security também há várias configurações para aplicar bloqueios mais granulares ao Safari
  • Fico curioso se o Lockdown Mode teria bloqueado esse ataque
    Até agora, algum iPhone em Lockdown Mode já foi hackeado por uma vulnerabilidade zero-day? Excluindo casos em que enganaram o usuário para instalar um programa malicioso

  • Thread relacionada em andamento:
    iOS 16.6.1 corrige duas vulnerabilidades conhecidas por estarem sendo ativamente exploradas em campo - https://news.ycombinator.com/item?id=37423506 - setembro de 2023, 7 comentários