اپل پس از شناسایی چند آسیبپذیری از کاربران ios خواست تا فورا اقدام به بهروزرسانی کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اپل پس از کشف سه آسیب پذیری حمله zero days ۱ که توسط دولتها برای جاسوسی بر روی فعالیتهای فعالان حقوق بشر و روزنامهنگاران انجام شده بود از کاربران ios درخواست بهروزرسانی فوری بهعمل آورد.
zero days که نیزه سهشاخه نامیده میشود به مهاجم اجازه میدهد تا کنترل کامل یک آیفون یا یک آیپد را تنها با یک کلیک به دست گیرد. نیزه سه شاخه یک حمله زنجیرهای ایجاد میکند که میتواند حتی با دستگاههای جدیدتر ios اپل سازش کند.
zero days برای اپل بهصورت کاملاً محرمانه توسط لابراتوار سیتیزن و توسط کمپانی امنیتی موبایل Lookout فاش شد. کاربران اپل مجبور شدند دستگاههای ios خود را به ورژن ۹.۳.۵ آپدیت کنند.
Andrew Blaich، محقق امنیتی در بررسیهایش گفت: این یک آسیبپذیری جدی است. این نقشه کاملاً در خفا و از راه دور طراحی شده است بهطوریکه یک کاربر تنها با کلیک بر روی یک لینک درگیر آن میشود و سوءاستفاده رخ میدهد بهگونهای که دستگاه جیلبریک ۲ میشود و نرمافزارهای مخرب بر روی آن نصب میشود. در این رخداد، کاربر هیچگونه نشانهای از خطا بر روی دستگاهش مشاهده نمیکند.
طبق بررسی لابراتوار سیتیزن، zero-days توسط شرکت نرمافزاری جدالآمیز در اسرائیل که گروه NSO نامیده میشوند، فروخته شد. این شرکت جاسوسی تلفن همراه، نام تجاری (Pegasus) اسب بالدار گرفت و آن را به دولتها و اشخاص سوم شخص میفروشد که با استفاده از آن جاسوسی روی اهدافی ارزشمند صورت میگیرد.
Ahmed Mansoor در لابراتوار سیتیزن در ماه آگوست در رابطه با Pegasus اعلام کرد که به آیفون یک فعال حقوق بشر از امارات متحده عربی و مرتبط با سازمان، پیامی عجیب از یک شماره تلفن ناشناس ارسال شده بود.
در آن پیام، لینک وبسایتی ناشناخته وجود داشت و همراه آن پیامی بود که او را وادار میکرد تا بر روی لینکی که برای دریافت «اسرار جدید» در مورد بازداشت شدگان شکنجه در زندانهای امارات متحده عربی بود، کلیک کند. منصور بهجای کلیک کردن بر روی آن لینک، آن پیام را برای لابراتوار کسپرسکی فوروارد کرد. Bill Marczak و John Scott-Railton محققان ارشد در لابراتوار سیتیزن، لینک را از طریق اتصال به دامنههای اینترنت شناسایی کردند که بر این باور بودند بخشی از اکسپلویت (کدهای مخربی) است که توسط NSO نمایان شده است.
Scott-Railton گفت: ما بلافاصله پس از شناخت این دامنه بهعنوان بخشی از شبکه حملات قبلی، آن را بررسی کردیم. امیدواریم بودیم که شبکه هنوز دایر باشد و آماده برای بهکار بردن و بهرهبرداری باشد، ما آن را بر روی آیفون دیدیم و موفق شدیم تا آلودگی را بهدست آوریم.
لابراتوار سیتیزن قادر به تعیین میزان آلودگی در گذشته و یا حال توسط Pegasus نشد. با این حال، قادر به مشخص کردن آن شد و منصور تنها کسی نبود که آلوده شده بود، روزنامهنگار مکزیکی، Rafael Cabrera نیز مورد هدف قرار گرفته است.
Scott-Railton در مصاحبهای با Threatpost گفته است، اینها نشان میدهد که برخی دولتها مایلاند مقدار زیادی پول را صرف کنند تا به افکار و ارتباطات شخصی و افرادی دارای موقعیتی خاص دست یابند. این تحقیق نشان میدهد سازمانهای مستقلی مثل لابراتوار ستیزن میتوانند با مخالفان و دیگر گروههایی کار کنند که هیچ منبع و پولی برای پرداخت امنیت ندارند. فقط بهخاطر اینکه آنها نمیتوانند در برابر آنها از خود دفاع کنند، البته به این معنی نیست که آنها مورد هدف نرمافزارهای مخرب قرار نخواهند گرفت. او میگوید هرچه که به جلو میرویم انتظار میرود حملات بیشتری از این نوع مشاهده کنیم.
به گفته کمپانی Lookout حمله Pegasus پیچیدهترین حملهای بوده است که در هر اندپوینتی مشاهده شده است.
Pegasus یک توسعهدهنده حرفهای و بسیار پیشرفته است که از آن در آسیب پذیریهای ziro-day، مبهم کردن و رمزگذاری کدها استفاده میشود. Pegasus در یک عملکرد پیچیده سیستم عامل واژگون شده و ایمنی لایه نرمافزارها را در تماسهای صوتی و اپلیکیشنهایی شامل Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram، برنامههای پیامی اپل و اپلیکیشن های ایمیل و غیره را به دام میاندازد. Pegasus لیست تماس و موقعیت GPS ، همچنین موارد شخصی مثل رمز روتر و وای فای که در دستگاه قربانی ذخیره شده را سرقت میکند.
طبق آنالیزهای فنی در رابطه با نرمافزارهای مخرب در Lookout، اولین ZERO-DAY (CVE۳-۲۰۱۶-۴۶۵۵)، یک آسیبپذیری تخریب حافظه در WebKit بروزر موبایل اپل بود.
طبق گفته Lookout، دومین ZERO-DAY (CVE-۲۰۱۶-۴۶۵۶) بر پایه آسیبپذیری کرنل برنامهریزی شده است که اطلاعات توسط مهاجمان نشت میکند و به آنها اجازه محاسبه حافظه کرنل داده میشود. سومین ZERO-DAY (CVE-۲۰۱۶-۴۶۵۷) تخریب حافظه کرنل است که که منجر به جیلبریک دستگاه میشود. Lookout گفت نسخههای ۳۲ و ۶۴ بیتی IOS که دارای سطح آسیب پذیری کرنل هستند، به مهاجم اجازه میدهد تا دستگاه را به آرامی جیلبریک کند.
Lookout نوشته است: بهدنبال آن حمله، نقشه فیشینگ پیش میرود؛ متنی ارسال میشود (در توییتر یا هرجا مثل اینها) پیامها با یک URL کاملاً عادی و غیر مشکوک، کاربر بر روی آن کلیک میکند، مرورگر باز میشود، صفحه بارگذاری میشود، مرورگر اکسپلویت یا سیستم عامل آسیبپذیر میشود برنامه به منظور جمعآوری اطلاعات و اطمینان نصب میشود که نرمافزار بر روی دستگاه باقی میماند و تداوم مییابد.
Lookout گفته است: نرمافزارهای جاسوسی Pegasus میتوانند بر روی تمام تلفنها، تماسها، متن پیامها جاسوسی کنند و میتواند میکروفن، بلندگو و دوربین تلفن را روشن کند. دسترسی به این محتوا میتواند برای بهدست آوردن اطلاعات بیشتر و حسابهای دیگر با اهداف دیگری مثل بانکداری، ایمیل و سرویسهای دیگر استفاده شود.
Blaic از Lookout معتقد است که از انواع نیزه سه شاخه در سالهای قبل در iOS7 سال ۲۰۱۳ استفاده شده است.
Lookout نوشته است: بنابر گزارشها گروه NSO صدها نفر کارمند دارد و بهطور اثرگذاری بهعنوان دلال سایبری از طریق فروش حملههای پیچیدهای که به تلفنهای همراه میشود، باعث میشود سالانه میلیونها دلار درآمد داشته باشد. NSO تنها مثالی از مزدوران سایبری است که ما می دانیم تنها نیست.
مرجع: کسپرسکی آنلاین