1 pontos por GN⁺ 2024-04-12 | 1 comentários | Compartilhar no WhatsApp
  • A ameaça de spyware mercenário contra indivíduos de alto risco foi novamente confirmada, e a Apple notificou usuários de iPhone em 92 países sobre a possibilidade de ataques direcionados
  • Este alerta informa que foram detectadas tentativas de comprometer remotamente iPhones vinculados ao Apple ID, mas a identidade dos atacantes e os países dos alvos não foram divulgados
  • Embora a Apple ressalte que não há certeza absoluta na detecção, orienta que este aviso deve ser levado a sério, pois se trata de um alerta com alto grau de confiança
  • Desde 2021, a Apple enviou alertas semelhantes a usuários em mais de 150 países, e em outubro do ano passado também disparou o mesmo tipo de aviso a jornalistas e políticos na Índia
  • A Apple trocou a expressão anterior “state-sponsored” por “mercenary spyware attacks”, distinguindo ataques como o Pegasus como muito mais sofisticados e raros do que malwares comuns

Alerta de ameaça enviado a usuários de iPhone em 92 países

  • A Apple enviou ao meio-dia de quarta-feira (horário do Pacífico) alertas de ameaça para usuários individuais em 92 países
  • O aviso alertava que iPhones vinculados ao Apple ID poderiam ser comprometidos remotamente por um ataque de spyware mercenário
  • No alerta verificado pelo TechCrunch, não foram divulgados a identidade do atacante nem o país do usuário que recebeu a notificação
  • O conteúdo principal enviado aos usuários foi o seguinte
    • O ataque pode ter mirado o usuário como alvo individual por causa de quem ele é ou do que faz
    • Esse tipo de ataque torna difícil garantir certeza absoluta no processo de detecção
    • A Apple tem alta confiança nesse alerta, e os usuários devem levá-lo a sério
  • A Apple informou que não pode fornecer detalhes adicionais sobre o motivo do envio do alerta, porque os atacantes podem mudar seus métodos no futuro para evitar a detecção

Alertas recorrentes e mudança de terminologia

  • A Apple envia esse tipo de alerta várias vezes por ano e informa em sua página de suporte que, desde 2021, notificou usuários em mais de 150 países sobre ameaças semelhantes
  • Em outubro do ano passado, o mesmo alerta também foi enviado a vários jornalistas e políticos da Índia
    • Depois disso, a Amnesty International informou ter encontrado o spyware invasivo Pegasus, da empresa israelense de spyware NSO Group, nos iPhones de importantes jornalistas indianos
    • Pessoas com conhecimento do caso disseram que usuários da Índia também estão entre os que receberam o alerta de ameaça mais recente
  • O aviso chega em um momento em que vários países se preparam para eleições
    • Recentemente, várias empresas de tecnologia alertaram para o aumento de atividades apoiadas por Estados com o objetivo de influenciar resultados eleitorais específicos
    • O alerta da Apple em si não menciona o momento do envio
  • A Apple anteriormente chamava os atacantes de “state-sponsored”, mas agora substituiu todas as expressões relacionadas por “mercenary spyware attacks
  • Ataques de spyware mercenário como o Pegasus são classificados como um tipo muito mais sofisticado e excepcionalmente raro do que o cibercrime comum ou malwares voltados ao consumidor
  • A Apple afirma que usa apenas informações internas de inteligência de ameaças e investigação para detectar esse tipo de ataque
  • Material relacionado: ferramenta para verificar se o spyware Pegasus da NSO atingiu seu celular

1 comentários

 
GN⁺ 2024-04-12
Opiniões no Hacker News
  • Há uma thread no Reddit publicada por alguém que recebeu esse tipo de alerta: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
    O interessante é que a pessoa afirma ser apenas um estudante universitário comum; se fosse realmente alguém como um agente secreto, provavelmente não perguntaria no Reddit, então até parece plausível.
    Fico curioso se os hackers escolhem os alvos com base em critérios como número de telefone. Dá para imaginar a possibilidade de o estudante ter recebido recentemente um número novo, e esse número ter sido associado antes a um alvo. Ainda assim, acho que deveria haver um jeito de descartar números conhecidos como alvos.

    • Parece haver um mal-entendido sobre o que é um alvo válido ou ideal para atacantes patrocinados por Estados ou atacantes mercenários. Só o fato de trabalhar em um laboratório, fabricante industrial, usina, empresa de tecnologia, ou de conhecer determinado professor, já pode colocar alguém em uma lista de alvos.
    • A pessoa pode ser apenas um estudante universitário, mas pode ter algum tipo de relação com o alvo real. Se fizer parte de uma operação complexa, talvez estejam tentando um acesso indireto.
    • Todo mundo pensa só em segredos acadêmicos, mas também é preciso ver se essa pessoa esteve envolvida de alguma forma em ativismo.
      Se for possível comprometer um ativista e destruir sua credibilidade, isso é uma capacidade enorme. Eu não ficaria nem um pouco surpreso se o backdoor no xz também tivesse sido uma tentativa de algum governo obter a capacidade de derrubar ou manchar qualquer pessoa que se opusesse a ele.
    • Essa pessoa já tinha sido alvo no verão passado. É muito provável que ela não seja tão desinteressante quanto acredita ou afirma ser.
    • Também pode ser um familiar ou conhecido do alvo. Já fiz bastante inteligência de fontes abertas (OSINT) como hobby e, ao procurar um alvo, às vezes a abordagem é triangular ou pivotar por meio de alguém ligeiramente fora do centro.
  • Vendo Metaverse, spyware mercenário, designação de alvos por IA em guerras e drones letais, fico sempre me perguntando quem leu Neuromancer e pensou: “Que visão de futuro otimista! Como podemos concretizar essa visão maravilhosa?”

    • Escritor de ficção científica: inventei o Torment Nexus no meu livro como uma história de alerta
      Empresa de tecnologia: finalmente criamos o Torment Nexus do clássico romance de ficção científica “Não criem o Torment Nexus”
      https://twitter.com/AlexBlechman/status/1457842724128833538
    • As pessoas que leram Neuromancer e pensaram assim provavelmente são as mesmas que leram 1984 e pensaram a mesma coisa.
      Ou talvez sejam pessoas que não leram 1984 e, por isso, não entenderam o alerta.
    • As pessoas que diziam “não se preocupe em fazer direito, faça rápido agora e conserte depois” criaram esse futuro.
      E, no fim, ele não foi consertado. Parece que continuamos empurrando tudo para ser mais rápido e mais barato. Se você continuar reduzindo peso, logo terá de cortar braços e pernas. Se um burocrata ou gestor competente anterior já cortou a gordura, sobra pouca gordura para a próxima pessoa cortar. Além disso, certa quantidade de gordura é de fato boa.
    • Não há com o que se preocupar. A realidade e o tempo vão encontrar formas de tornar a realidade pior do que qualquer romancista do passado poderia imaginar. Hoje até Brave New World parece ingênuo.
    • Nunca faltarão pessoas que leem uma distopia e pensam: “Isso é terrível. Eu deveria oprimir o mundo inteiro como um rei-deus justo e virtuoso, para que tudo funcione bem de acordo com o certo e o errado que minha visão extremamente estreita consegue compreender”.
      Mesmo aqui, há muita gente que acredita que “tecnologia pela tecnologia” é algo bom, ou que qualquer tecnologia é inerentemente progresso social e que progresso === bem.
  • Se eu recebesse uma mensagem como “A Apple detectou que você está sendo alvo de um ataque de spyware mercenário que tenta comprometer remotamente o iPhone associado ao seu Apple ID -xxx-”, eu acharia que faz parte de um golpe de phishing.
    Como saber se isso é real? Se parecer diferente de outras mensagens que costumo receber, a chance de eu achar que é falso é ainda maior.
    Depois vi que, como nos comentários abaixo, dá para confirmar fazendo login em appleid.apple.com. Isso já parece confiável.

    • Segundo o site da Apple, para verificar se uma notificação de ameaça da Apple é verdadeira, basta fazer login em appleid.apple.com. Se a Apple tiver enviado uma notificação de ameaça, isso aparecerá claramente no topo da página após o login.
      https://support.apple.com/en-lamr/102174
    • Se não houver link para clicar e a mensagem não pressionar você a fazer login em algum lugar, ela soa apenas como informação.
      Se um banco entrar em contato sobre fraude no cartão de crédito e houver um botão grande tipo “clique aqui para fazer login”, eu ficaria muito desconfiado. Por outro lado, se houver apenas a informação e algo como “para mais detalhes, procure a agência mais próxima”, sem links nem números de telefone, parece menos suspeito.
    • Se um golpe de phishing conseguiu exibir uma mensagem assim no celular por outro método, então é bem provável que esse celular já tenha sido hackeado e não possa mais ser considerado confiável.
    • No fim, diz que é possível confirmar a validade fazendo login no iCloud, onde será exibido um banner de notificação.
    • Ouvi dizer que aparece como um selo ou banner no topo do painel web do iCloud no navegador. Parece que também aparece na parte superior da mensagem recebida.
  • Não entendo como Pegasus e NSO ainda têm permissão para existir. Sei que é uma empresa israelense, mas ainda assim, o governo de Israel já tomou alguma medida contra eles? Isso é praticamente comportamento de Estado pária.

    • Há um bom documentário da PBS Frontline sobre o NSO Group. Eles receberam aprovação do governo e são usados até como instrumento de pressão política: https://m.youtube.com/watch?v=6ZVj1_SE4Mo
    • O motivo pelo qual Pegasus e NSO ainda são permitidos é que os atores com autoridade para bani-los são justamente seus maiores clientes.
    • Há muitas empresas assim que simplesmente não são conhecidas. Não acho que essa situação tenha muito a ver com Israel.
    • Você está partindo do pressuposto de que o governo israelense não aprova o que eles fazem?
  • Usuários de Android provavelmente estão em uma situação muito mais grave; o Google apenas não divulga isso
    Ao ver isso, estou considerando seriamente mudar para a Apple. Não porque a Apple seja segura, mas porque ela tem esse nível de disposição de avisar os usuários

    • Ironicamente, isso pode ser pior. O iMessage provavelmente é uma etapa central em mais de 60% desses exploits, e vários mecanismos de renderização de Unicode/PDF também são causa de muitos ataques
      A natureza open source do Android aumenta a chance de essas coisas serem descobertas primeiro por pesquisadores de segurança. Também não dá para esquecer que a Zerodium ainda paga mais por 0-day de Android do que por 0-day de iOS
      Além disso, há diferenças enormes entre aparelhos da Samsung, Google, Moto, Huawei etc., então é três vezes mais difícil um único exploit funcionar
    • Lendo nas entrelinhas, parece que a Apple talvez tenha reprodutibilidade da causa raiz em todos os dispositivos Apple depois de uma infecção, mas simplesmente não diga isso publicamente
      Isso significaria que, quando uma infecção acaba sendo descoberta, a Apple consegue isolar o ponto de entrada da vulnerabilidade e depois escanear novamente todos os dispositivos para detectar aqueles que podem ter sido alvo do mesmo ataque
      Do ponto de vista coletivo, faz sentido aplicar hash a dados que possam servir como impressão digital. Em um caso extremo, poderia ser algo simples como a stack de chamadas depois de receber um iMessage
    • A afirmação de que “usuários de Android provavelmente estão em uma situação muito mais grave” precisa de base
    • O Google faz esse tipo de coisa há muito tempo. Recebi um e-mail desses por volta de 2010
    • Se usuários de Android em geral estão em situação muito mais grave, é possível. Mas hoje o Google Pixel é parecido com a Apple em termos de segurança, e há quem o considere mais seguro. Como outros disseram, o Google também já enviou alertas semelhantes no passado
      Além disso, não acho que o Google tenha a responsabilidade de monitorar e avisar sobre celulares de outros fabricantes, como Samsung e Motorola
  • “Ataques de spyware mercenário, como os que usam o Pegasus do NSO Group, são extremamente raros e muito mais sofisticados do que crimes cibernéticos comuns ou malware de consumo”
    Então, acionar um alerta da Apple para o alvo pode, por si só, fazer parte de uma operação sofisticada
    Esses alvos reagem, ou são obrigados a reagir, de determinadas maneiras. É uma forma de fazer alguém escondido sair da toca e induzi-lo a reagir, mesmo que seja apenas para observar seu comportamento
    O que esses alvos farão em seguida? Trocarão de telefone? Acessarão algum serviço digital específico? Alertarão sua rede por meios comuns de comunicação? Do ponto de vista de um observador, é bem interessante

    • A Apple recomenda em seu site onde entrar em contato para receber orientação, e, claro, a Apple não é a única a oferecer esse tipo de conselho
      Apple: “Se você recebeu uma notificação de ameaça da Apple, recomendamos fortemente que procure ajuda especializada, como o suporte emergencial de segurança de resposta rápida oferecido pela Digital Security Helpline, sem fins lucrativos, da Access Now. Destinatários de notificações de ameaça da Apple podem entrar em contato com a Digital Security Helpline pelo site 24 horas por dia, 7 dias por semana. Organizações externas não têm informações sobre o que levou a Apple a enviar uma notificação de ameaça, mas podem ajudar com aconselhamento de segurança personalizado para usuários visados.”
      https://support.apple.com/en-lamr/102174
      Amnesty International: “A Access Now Helpline e outros parceiros da sociedade civil do Security Lab também estão preparados para apoiar pessoas que receberam notificações da Apple.”
      https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
    • Trocar de telefone? Se um Motorola de 130 dólares puder oferecer segurança melhor, então sim
      Depois que o FBI conseguiu invadir um iPhone em 2018, é surpreendente que alguém ainda guarde segredos em um iPhone
  • Se você está curioso para saber como é a mensagem real, um usuário do Reddit publicou uma junto com uma versão anterior de 2023. Não inclui tudo: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...

    • A mensagem parece recomendar ao usuário “atualizar para a versão de software mais recente, iOS 16.6”. Fico curioso se a mensagem é diferente para usuários de aparelhos que não podem ser atualizados além do iOS 15, como iPhone 7, 7 Plus e SE
  • Esse spyware é possível por causa de falhas de engenharia nos produtos da Apple?

    • Tecnicamente, dá para dizer que sim
      Mas nunca existiu software significativo sem nenhuma falha desse tipo. Em outras palavras, acho provável que o iOS seja melhor do que a maioria das outras plataformas contra esse tipo de ataque
    • Sobre o NSO Group, vale ouvir o podcast Darknet Diaries. O NSO Group provavelmente paga mais de 100 mil dólares a hackers que tenham um zero-day útil para iPhone
      https://darknetdiaries.com/episode/100/
    • Até agora, praticamente todos os vírus de computador, worms etc. foram possíveis por causa de falhas de engenharia em produtos de software. Todo software já criado no mundo, inclusive o que você usa agora, tem bugs
    • Acho que sim. Todas as plataformas têm bugs e zero-days
  • Parece que isso deveria se aplicar a praticamente todos os países, então é curioso que os alertas vão apenas para 92 países

    • Será que em alguns países talvez seja ilegal avisar usuários dessa forma? Imagino que informar alguém de que foi alvo do governo possa ser ilegal em alguns países
  • Não foi informado quais são esses 92 países

    • Achei estranho mencionarem esse número na mensagem ao usuário final. Comparado com a mensagem do ano passado, parece que passou um pouco para um tom de comentário