Pegasus-spyware inficerede telefoner via zero-click-angreb og nuldagssårbarheder

Den israelske virksomhed (NSO) påpeger, at kunder, der vil bruge Pegasus, først skal skrive under på, at de kun vil bruge softwaren mod kriminelle og terrorister.

Godt at vide. Så har de gjort deres due dilligence.... eller noget.

De regimer der bruger softwaren til at overvåge journalister, advokater, menneskeretsaktivister o.lign. gør jo kun det de har skrevet under på at ville overholde. Under sådanne regimer ER det kriminelt at udbrede holdninger mod regimet, eller på anden måde at modarbejde regimet. Den slags unoder kan ligefrem kategoriseres som terrorisme.

bilfabrikkerne for vel ikke skylden for vanvidskørsel eller terror angreb

En bil er langt mere selvstændig end det kompleks af valideringsserver, content-server, abuse-server som beskrives i Amnesty International rapporten.

Vi taler jo om hundredvis af domæner som skal sættes og linkes til ovenstående servere og hvis det NSO-talsmanden siger er rigtigt, så skal det ske pr kunde.

I mine øjne er det dybt utroværdigt at hver kunde / efterretningstjeneste sætter dette kompleks op uden brug af konsulenter fra NSO.

NSO må kende omfanget af overvågningen ligesom de må vide hvem som bliver overvåget via den support som må følge med i dette tekniske setup.

Men det er jo en måde at undgå ansvarspådragelse, ved at sammenligne med noget andet som intet har med sagen at gøre.

alle genstand er farlige, hvis de forkerte for fat i dem. bilfabrikkerne for vel ikke skylden for vanvidskørsel eller terror angreb. excell er nok skyld i flere sager med økonomisk kriminalitet. så længe der er mennesker på jorden vil misbrug af opfindelser finde sted. hvem har iøvrigt retten til at udnævne hvem der er de gode og hvem der er de onde. diverse forsker advare i mod A-bomben, der kan uden tvivl føres lange diskusion om det.

VPN er ubrugelig.

Helt forudsigeligt benægter skaberne og sælgerne af det militære cybervåben at have gjort noget forkert og skyder skylden på kunderne:

https://www.bbc.com/news/technology-57922664

Det er selvføligelig skidt der er zero-click sårbarhed i iMessenger, men jeg er endnu mere bekymret , hvis det også er tilfædet for Safari og Chrome i clean version!? (Har man installeret plug-ins, så er det en anden snak og så løber man en vis risiko) Er der nogen som er bekendt med det? Står dét i rapporten (har ikke læst den, indrømmet).

En anden interessant ting er hvilke data på telefonen pegasus haft adgang til, har der være decideret root adgang?

"Vi" går jo alle og forventer der er vandtætte skotter mellem de forskellige apps på iPhone og Android, hvis det ikke er tilfældet, og enhver tilfældig app kan snyde sig adgang til f.eks. emails så er det særlig kritisk.

En advarsel til brugeren af telefonen – udløst af en filscanning - om mulig aflytning med besked straks at genetablerer fabriksindstillingerne, vil være ethvert politis mareridt.

Vil jo stadigvæk kræve du ved hvad du skal kigge efter, og er jo ikke sikkert at de ting du kigger efter er det samme, automatiseret unike navne, placing af filer ville jo umuliggøre det.

Havde producenterne haft den interese, havde vore mobil twlefoner gjort opmærksome på når de modtog en stille sms, men det gør de jo ikke, kommunikationen til simkortet, bliver du jo ikke gjort opmærksom på.

Vi skal mere over i at droppe sporg som c/c++ og kun gøre brug af memorysafe ting så det bliver sværer at lave disse huller som det her gør brug af .

Hvad med en VPN, vil det havde hjulpet?

Ved den type angreb udskifter ISP'en "http://yahoo.fr/" med "https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz"

Det kræver kontrol med det netværk du bruger. Læs om detaljerne i afsnit 1 i Amnesty International rapporten.

Finger printer kræver at du 1. har set tingen og 2.ved hvad det er, eller du venter det rundt og siger kun ting jeg kender kan køre, det hjælper bare ikke noget somhelst i den situatioen her hvor der bruges hul i et tilladt program som så tillader kørese af udefra kommende kode.

Der er en teknisk side og så er en psykologisk side.

Kigger vi på Amnesty International rapporten, så efterlader Pegasus softwaren spor på mobiltelefonen i form filer og manipulerede logs.

En advarsel til brugeren af telefonen – udløst af en filscanning - om mulig aflytning med besked straks at genetablerer fabriksindstillingerne, vil være ethvert politis mareridt.

Det afgørende er ikke at en 100% teknisk korrekt løsning, men at man som myndighed skal forholde sig at man kan blive afsløret i hemmeligt at overvåge advokater, journalister, politikkere, menneskeretsaktivister mv.

Potentielt kan dette udløse en politisk skandale som ingen ved hvor ender, hvis f.eks. 50 journalister i et land samtidig får denne besked.

I Saudi Arabien er det nok ikke nogen større skandale, men i resten af verden, er det i høj grad tænkeligt at minister og politichefens karrier får sig en brat afslutning.

Jeg ved godt at det fingerprint kan være ændret 5 minutter senere – der er det bare for sent - for skandalen ruller.

Forstår stadig ikke helt hvilke attach vectors der har været i brug, udover "Apple Music nuldagssårbarheder i iMessage", hvad det så end betyder.

Det er netop både iMessage angreb (dvs. de har kunnet sende en iMessage til ejeren af den telefon de ville overvåge - og så udnyttede den en sårbarhed i iMessage - så brugeren af telefonen ikke engang så beskeden - og blev telefonen blev inficeret (og overvåget) uden at de gjorde noget aktivt.

Den anden metode - url omdirigeringen - sker som de beskriver det her - ved at den lokale netværksudbyder (mobil udbyderen der giver dig internet) har været kompromiteret og derfor har angriberen kunne give "et forkert svar" - når en mobilenhed har forespurgt efter yahoo.com DNS - hvorved de er landet på en anden side - eller hvis den første forbindelse var ukrypteret (man bare skriver yahoo.com i browser og den browser IKKE har besøgt sitet før/eller sitet ikke bruger HSTS og derfor ikke har fået sat en HSTS header til at sikre at den KUN prøver over HTTPS) - så har de bare kunnet svare med en omdirigering til browseren - og derefter udnyttet en browser sårbarhed.

Der er jævnligt mange telefoner der inficeres ved hjælp af reklamer på "tilfældige sites" - der udnytter browser sårbarheder på telefoner der ikke er opdateret.

Hvad med en VPN, vil det havde hjulpet?

Lav et lille krypteret program som ved opstart loader signaturer og fingerprints fra kendte hacks/svagheder og straks udsteder en advarsel til brugeren med tilbud om straksnedlukning af telefonen.

vi har gentagene gange set det går galt med at parse den slags, en fejl i håndteringen af zip, xml, osv og du har et nyt sikkerhedshul der kan udnyttest.

Finger printer kræver at du 1. har set tingen og 2.ved hvad det er, eller du venter det rundt og siger kun ting jeg kender kan køre, det hjælper bare ikke noget somhelst i den situatioen her hvor der bruges hul i et tilladt program som så tillader kørese af udefra kommende kode.

Statisk analyse af en binary er ubrugtlig, du kan ikke ude fra det sige hvad et program gør, man er nød til at step for step emulere hvert enkelt instruktion og kig på hvad der sker i ram, sandbox som AV produkter har det med at bruge også køre et program i 10 sekunder, er ligeså håbløst, ingen siger ukendt kode straks giver sig ud i at gøre noget.

Forstår stadig ikke helt hvilke attach vectors der har været i brug, udover "Apple Music nuldagssårbarheder i iMessage", hvad det så end betyder.

Læs f.eks. punkt 1 om hvordan ” network injection attacks” udføres.

Hvis engelsk er problemet, så prøv www.deepl.com som leverer udvidelser til de fleste browsere.

Forstår stadig ikke helt hvilke attach vectors der har været i brug, udover "Apple Music nuldagssårbarheder i iMessage", hvad det så end betyder.

Der skrives om at inficere selve mobil-netværket, men hvordan kan man inficeret en telefon ved bare at få adgang til netværket? Selve URL omdirigeringen mener jeg ikke er nok. Kun hvis man havner på en siden som udnytter sårbarheder i browseren. Men så er det ikke URL omdirigeringen der er problemet, men browser-sårbarheden. Og 99,9% af alle sites hvor der udveksles login m.v. bruger TLS kryptering

I min optik er det afgørende om inficeringen skyldes installation af apps/plugins.

Er man særlig interessant for slyngelstater, Kina og Rusland (journalister, system-kritikkere og myndighedspersoner), så skal man være MEGET forsigtig med at installere nogen apps overhovedet! Så må man ha' to telefoner, en til embed/professionel brug og en til privat sjov og spads.

Folk skal forstå at der er kun én der ved hvad en app kan og gør, og det er den programmøren som har lavet app'en! ALLE apps/programmer kan indeholde ondsindet kode.

Og antivirus o.lign virker ikke da det som udgangspunkt er basseret på whitelistning (dvs. detektering af KENDTE signaturer og fingerprints). Og du kan være 100% sikker på at disse signaturer ikke er kendte. Bliver de kendte, ændres de bare efter 5 minutter.

Udmærket artikel og ikke overraskende mener NSO Group – ikke at have gjort noget galt.

Nu går Amnesty International rapporten på Apple da ”der er betydeligt flere kriminaltekniske spor tilgængelige for efterforskere på Apple iOS-enheder end på standard Android-enheder, og derfor er vores metodologi fokuseret på førstnævnte.”

Men Apple og andre producenter bør gøre mere for at undgå den form for overvågning.

Man kunne f.eks. lade sig inspirer af Valve Anticheat som er et lille program som kører ved siden af selve spillet for at opfange ulovlige 3. partprogrammer som wall-hack.

Lav et lille krypteret program som ved opstart loader signaturer og fingerprints fra kendte hacks/svagheder og straks udsteder en advarsel til brugeren med tilbud om straksnedlukning af telefonen.

Da overvågning er baseret på at brugeren er uvidende om at brugeren er mål for overvågning, er denne afsløring vigtig.

Derudover skal der udvikles et program i stil med itunes som kan ”rense” telefoner og indsende de ulovlige filer/processer til nærmere analyse hos producenten samt til et af brugeren valgt sikkerhedsselskab.

Virker antivirus imod Pegasus?