我們所見過的技術上最復雜的漏洞利用之一”- 谷歌“零號項目”安全研究人員評價ForcedEntry無交互攻擊。
多年來,以色列間諜軟件開發商NSO集團針對Android/ target=_blank class=infotextkey>安卓和IOS設備開發出了多款強大而有效的黑客工具,震驚了全球安全社區。NSO的產品被世界各地的客戶濫用,以至于該公司現在正面臨制裁和備受關注的訴訟,前途未卜。而在對NSO利用iOS漏洞開發的ForcedEntry技術進行了一項新分析之后,谷歌提出了一個更為重要的警告,“私營公司開發出的黑客工具在技術創新性和復雜性上堪比受政府支持的精英間諜團體。”在今年針對活動人士、持不同政見者和記者的多起攻擊事件中,正是ForcedEntry技術在幕后推動。
谷歌“零號項目”漏洞搜尋小組使用多倫多大學公民實驗室研究人員提供的樣本分析了ForcedEntry技術。該實驗室今年發表了大量關于利用該技術制造的針對性攻擊的文章。國際特赦組織的研究人員今年也對該黑客工具進行了重要研究。ForcedEntry漏洞攻擊是一種無交互攻擊,一旦發起,受害者什么都不做就被黑了。“零號項目”團隊發現,ForcedEntry針對蘋果的iMessage平臺的特征,繞過蘋果近年來針對此類攻擊增設的保護措施而接管設備,在設備上安裝NSO的旗艦間諜軟件Pegasus。
蘋果發布了一系列補丁,減輕了ForcedEntry攻擊的影響,并加強了iMessage對未來類似攻擊的防范。但“零號項目”研究人員在他們的分析報告中寫道,ForcedEntry仍然是“我們所見過的技術上最復雜的漏洞利用之一。”研究人員表示,NSO已經實現了一定程度的創新和完善,而這通常被認為是少數的國家級黑客才有的技能。
“零號項目”成員說,“我們以前從未見過哪個在野漏洞攻擊能利用如此有限的漏洞產生如此規模的攻擊能力,比如不需要與攻擊者的服務器進行任何交互、不需要在受害者設備上加載JAVAScript或類似的腳本引擎等等。安全社區中有很多人認為此種類型的漏洞利用,即單次遠程代碼執行,已得以解決。他們認為,移動設備提供的保障措施足夠強大,黑客無法發起有效的單次攻擊。這種盲目樂觀情緒使得此類漏洞不只是有可能,而是正被有效地用于對人們發起在野漏洞攻擊。”
繼“零號項目”團隊對無交互攻擊威脅研究之后,蘋果在2020年發布的iOS 14系統中增加了對iMessage的保護且被稱為BlastDoor。BlastDoor主要功能為使ForcedEntry更難對iMessage發起無交互攻擊。
ForcedEntry利用iMessage接收和解釋GIF類文件方式中的漏洞,欺騙系統打開惡意PDF。這一系列操作都不需要受害者進行任何的操作。通過使用CoreGraphics模塊漏洞,ForcedEntry讓黑客能夠完全接管目標對象的iphone。
但ForcedEntry的復雜性還遠不止于此。許多其它安全攻擊都是由命令和控制服務器向成功放置的惡意軟件發送黑客指令,而ForcedEntry有自己的虛擬環境。它的整個攻擊基礎設施可以自行建立并在iMessage等異域環境中運行,從而使攻擊更難以檢測。“零號項目”研究人員在他們的分析中總結道,“這非常令人難以置信,同時也非常可怕。”
公民實驗室某高級研究員表示,“零號項目”報告中詳細的技術解釋非常重要,不僅因為它詳細說明了ForcedEntry的工作原理,還因為它揭示了私營公司開發惡意軟件的嚴重性。
該研究員說:“這些技術能力應該由國家嚴格掌控。當這些復雜技術被火力全開的黑客沒有任何節制地濫用,這絕對是可怕的。你不得不擔心目前還有哪些技術被挖掘出來也被黑客利用了。如果民間社會面臨的是如此嚴重的技術威脅,情況真是太嚴峻了。”
經過多年的爭論,也許會有越來越多的政治意愿呼吁私營間諜軟件開發商承擔責任。例如,路透社最先報道稱,由18名美國國會議員組成的小組于周二致函美國財政部和國務院,呼吁各機構制裁NSO和其他三家國際監控軟件開發商。
稿件來源:
https://www.wired.com/story/nso-group-forcedentry-pegasus-spyware-analysis/
