A svéd távközlési és kiberbiztonsági cég, az Enea kutatója egy eddig ismeretlen taktikát tárt fel, amelyet az izraeli NSO Group olyan kampányaiban tett elérhetővé, amelyek célja, hogy a Pegasus nevű mobil kémprogram-eszközét a világszerte megcélzott személyekhez tartozó mobileszközökön dobja le.
A kutató akkor fedezte fel a technikát, amikor megvizsgálta az NSO Group viszonteladója és a ghánai távközlési hatóság közötti szerződésben szereplő „MMS ujjlenyomat” című bejegyzést.
A szerződés a WhatsApp és az NSO Group 2019-es peréhez kapcsolódó nyilvánosan elérhető bírósági dokumentumok része volt, amely szerint az utóbbi kihasználta a WhatsApp hibáját a Pegasus újságírók tulajdonában lévő eszközökön történő telepítésére. emberi jogi aktivisták, ügyvédek és mások világszerte.
Nulla-kattintásos eszközprofilozás a Pegasus számára
A szerződés az MMS-ujjlenyomatot úgy írta le, mint olyasvalamit, amelyet az NSO-ügyfelek arra használhatnak, hogy részleteket szerezzenek a megcélzott BlackBerry-, Android- vagy iOS-eszközről és annak operációs rendszerének verziójáról, egyszerűen multimédiás üzenetküldő szolgáltatás (MMS) üzenet küldésével.
„Az eszköz ujjlenyomatának vételéhez nincs szükség felhasználói beavatkozásra, elköteleződésre vagy üzenetmegnyitásra” – áll a szerződésben.
Egy múlt heti blogbejegyzésben Az Enea kutatója, Cathal McDaid elmondta, hogy úgy döntött, hogy megvizsgálja ezt a hivatkozást, mert az „MMS ujjlenyomat” nem ismert kifejezés az iparágban.
„Bár mindig figyelembe kell vennünk, hogy az NSO Group egyszerűen csak „feltalálja” vagy eltúlozza az általa állítólagos képességeket (tapasztalataink szerint a megfigyelő cégek rendszeresen túlígérik képességeiket), az a tény, hogy ez szerződésen volt, nem pedig hirdetésben, azt sugallja. hogy nagyobb valószínűséggel az igazi” – írta McDaid.
Ujjlenyomat az MMS-folyamattal kapcsolatos probléma miatt
McDaid vizsgálata gyorsan arra a következtetésre jutott, hogy az NSO Group szerződésében említett technika valószínűleg magával az MMS-folyamattal van összefüggésben, nem pedig az operációs rendszerre jellemző sebezhetőségekkel.
A folyamat általában azzal kezdődik, hogy a küldő eszköze először küld el egy MMS-üzenetet a feladó MMS-központjába (MMSC). A feladó MMSC-je ezután továbbítja az üzenetet a címzett MMSC-jének, amely értesíti a fogadó eszközt a várakozó MMS-üzenetről. A fogadó eszköz ezután lekéri az üzenetet az MMSC-től, írta McDaid.
Mivel az MMS fejlesztői akkor vezették be, amikor még nem minden mobileszköz volt kompatibilis a szolgáltatással, ezért úgy döntöttek, hogy egy speciális SMS-t („WSP Push”) használnak, hogy értesítsék a fogadó készülékeket a függőben lévő MMS-üzenetekről. a címzett MMSC-je. Az ezt követő visszakeresési kérés valójában nem MMS, hanem egy HHTP GET kérés, amelyet az értesítésben a tartalom helye mezőben felsorolt tartalmi URL-re küldenek – írta a kutató.
"Az érdekes dolog itt az, hogy a HTTP GET-en belül a felhasználói eszközök információi is benne vannak" - írta. McDaid arra a következtetésre jutott, hogy az NSO Csoport valószínűleg így szerezte meg a megcélzott eszközinformációkat.
McDaid egy nyugat-európai távközlési szolgáltató néhány minta SIM-kártyájával tesztelte elméletét, és némi próbálkozás és hiba után sikerült beszereznie egy teszteszköz UserAgent infót és HTTP fejléc információt, amely leírja az eszköz képességeit. Arra a következtetésre jutott, hogy az NSO-csoport szereplői felhasználhatják az információkat a mobil operációs rendszerek bizonyos sebezhetőségeinek kihasználására, vagy a Pegasus és más rosszindulatú terhelések céleszközökre szabására.
„Vagy felhasználható adathalász kampányok kidolgozására az eszközt hatékonyabban használó emberek ellen” – jegyezte meg.
McDaid elmondta, hogy az elmúlt hónapok során végzett vizsgálatai során eddig nem tártak fel bizonyítékot arra, hogy bárki is kiaknázza a technikát a vadonban.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal