Key Takeaways
- Analizirajući špijunski skandal koji je otkrio Citizen Lab, Googleovi sigurnosni istraživači su otkrili novi mehanizam napada poznat kao eksploatacija bez klika.
- Tradicionalni sigurnosni alati kao što je antivirus ne mogu spriječiti eksploatacije bez klika.
- Apple je zaustavio jedan, ali istraživači strahuju da će u budućnosti biti još eksploatacija bez klikova.
Praćenje najboljih sigurnosnih praksi smatra se razboritim putem za čuvanje uređaja kao što su laptopi i pametni telefoni, ili je bilo sve dok istraživači nisu otkrili novi trik koji se praktično ne može otkriti.
Dok su secirali nedavno zakrpljenu Appleovu grešku koja je korištena za instaliranje špijunskog softvera Pegasus na određene mete, istraživači sigurnosti iz Googleovog projekta Zero otkrili su inovativni novi mehanizam napada koji su nazvali "eksploatacija bez klikova", koje nijedan mobilni antivirus ne može spriječiti.
"Uz nekorištenje uređaja, ne postoji način da se spriječi eksploatacija 'zero-click exploit-om;' to je oružje od kojeg nema odbrane, " tvrde inženjeri Google Project Zero Ian Beer i Samuel Groß u blog postu.
Frankenstein's Monster
Pegasus špijunski softver je zamisao NSO Grupe, izraelske tehnološke firme koja je sada dodata na američku "Listu entiteta", koja ga u suštini blokira sa američkog tržišta.
"Nije jasno koje je razumno objašnjenje privatnosti na mobilnom telefonu, gdje često obavljamo vrlo lične pozive na javnim mjestima. Ali svakako ne očekujemo da će neko prisluškivati naš telefon, iako je to ono što Pegasus omogućava ljudima da rade", objasnio je Saryu Nayyar, izvršni direktor kompanije za cyber sigurnost Gurucul, u e-poruci za Lifewire.
Kao krajnji korisnici, uvijek bismo trebali biti oprezni pri otvaranju poruka iz nepoznatih ili nepouzdanih izvora, bez obzira koliko je tema ili poruka primamljiva…
Pegasus špijunski softver došao je u centar pažnje u julu 2021. godine, kada je Amnesty International otkrio da je korišten za špijuniranje novinara i aktivista za ljudska prava širom svijeta.
Ovo je uslijedilo otkriće istraživača u Citizen Lab-u u augustu 2021., nakon što su pronašli dokaze o nadzoru na iPhone 12 Pro devet bahreinskih aktivista kroz eksploataciju koja je izbjegla najnoviju sigurnosnu zaštitu u iOS-u 14, zajedno poznata kao BlastDoor.
U stvari, Apple je podnio tužbu protiv NSO Grupe, smatrajući je odgovornom za zaobilaženje sigurnosnih mehanizama iPhone-a za nadzor Appleovih korisnika putem špijunskog softvera Pegasus.
"Država sponzorisani akteri poput NSO grupe troše milione dolara na sofisticirane tehnologije nadzora bez efektivne odgovornosti. To se mora promijeniti, " rekao je Craig Federighi, Appleov viši potpredsjednik za softversko inženjerstvo, u saopštenju za javnost o tužbi.
U dvodijelnom postu na Google Project Zero, Beer i Groß su objasnili kako je NSO grupa stavila Pegasus špijunski softver na iPhonee meta koristeći mehanizam napada bez klika, koji su opisali kao nevjerovatan i zastrašujući.
Zero-click exploit je upravo ono što zvuči – žrtve ne moraju ništa kliknuti ili dodirnuti da bi bile kompromitovane. Umjesto toga, jednostavno gledanje e-pošte ili poruke s priloženim zlonamjernim softverom omogućava da se instalira na uređaj.
impresivno i opasno
Prema istraživačima, napad počinje opakom porukom u aplikaciji iMessage. Kako bi nam pomogao da razbijemo prilično složenu metodologiju napada koju su osmislili hakeri, Lifewire je zatražio pomoć nezavisnog istraživača sigurnosti Devananda Premkumara.
Premkumar je objasnio da iMessage ima nekoliko ugrađenih mehanizama za rukovanje animiranim-g.webp
"Kao krajnji korisnici, uvijek bismo trebali biti oprezni kada otvaramo poruke iz nepoznatih ili nepouzdanih izvora, bez obzira na to koliko je tema ili poruka primamljiva, jer se ona koristi kao primarna ulazna tačka u mobilni telefon, " Premkumar je savjetovao Lifewire u e-poruci.
Premkumar je dodao da je poznato da trenutni mehanizam napada radi samo na iPhone uređajima dok je prolazio kroz korake koje je Apple poduzeo da bi uklonio trenutnu ranjivost. Ali dok je trenutni napad smanjen, mehanizam napada je otvorio Pandorinu kutiju.
"Zero-click exploits neće uskoro umrijeti. Biće sve više ovakvih eksploatacija bez klika koje se testiraju i primenjuju na mete visokog profila za osetljive i vredne podatke koji se mogu izvući iz mobilnih telefona tako eksploatisanih korisnika, " rekao je Premkumar.
U međuvremenu, pored tužbe protiv NSO-a, Apple je odlučio pružiti tehničku, obavještajnu i inženjersku pomoć istraživačima Citizen Lab-a besplatno i obećao je da će ponuditi istu pomoć drugim organizacijama koje obavljaju kritičan posao u ovom prostoru.
Pored toga, kompanija je doprinijela 10 miliona dolara, kao i svu odštetu dosuđenu u tužbi za podršku organizacijama uključenim u zastupanje i istraživanje zloupotreba cyber-nadzora.
