Google Project Zero, група експертів з безпеки, що займається пошуком уразливостей у програмному забезпеченні, які можуть бути використані хакерами, опублікувала аналіз експлойту ForcedEntry. Експлойт ForcedEntry був розроблений ізраїльською фірмою NSO Group, яка використовувала його та вразливість у платформі Apple iMessage для розгортання свого шпигунського ПЗ Pegasus. Команда Google Project Zero використала зразок ForcedEntry, наданий експертами Citizen Lab з Університету Торонто, які першими виявив експлойт.
При глибокому аналізі експлойту фахівці Project Zero заявили, що ForcedEntry використовує атаку з нульовим клацанням, що означає, що жертві не потрібно відкривати посилання або надавати дозвіл. Злам обійшов захист Apple iOS з нульовим клацанням і, використовуючи Apple iMessage, захопив пристрої для встановлення шпигунського ПЗ Pegasus. ForcedEntry використовував спосіб, яким iMessage приймав та інтерпретував файли, такі як GIF, щоб обдурити платформу та змусити її відкрити шкідливий файл PDF без будь-якої участі користувача. Експлойт використовував слабке місце у старій технології стиснення, розробленої для створення стислих PDF-файлів при скануванні документа за допомогою фізичного сканера.
Ця ж технологія досі використовується комп’ютерами. ForcedEntry використовує сценарій, що складається з логічних команд, записаних безпосередньо у PDF-файл з маскою. Це дозволяє йому організувати та запустити всю атаку, ховаючись в iMessage, що ще більше ускладнює пошук. Той факт, що ForcedEntry використовує таку технологію, робить її унікальною, оскільки багато подібних атак повинні використовувати так званий командно-керуючий сервер для передачі інструкцій шкідливій програмі.
Аналіз Project Zero важливий не тільки тому, що він розкриває деталі того, як працює ForcedEntry, але і тому, що показує, наскільки що вражає та небезпечними можуть бути програми приватної розробки. Старший науковий співробітник Citizen Lab Джон Скотт-Рейлтон
Нагадаємо, наприкінці листопада компанія Apple подала позов проти ізраїльської NSO Group та її материнської компанії, щоб притягнути їх до відповідальності за стеження та переслідування користувачів Apple. У позові міститься нова інформація про те, як NSO Group заразила пристрої жертв своїм шпигунським програмним забезпеченням Pegasus. Джерело