Используемый Pegasus эксплойт 0-click для iPhone признали крайне сложным

Используемый Pegasus эксплойт 0-click для iPhone признали крайне сложным

Используемый Pegasus эксплойт 0-click для iPhone признали крайне сложным

Эксперты Google Project Zero представили результаты разбора эксплойта, с помощью которого на iPhone активистов в Саудовской Аравии была установлена программа-шпион Pegasus. Как оказалось, разработчики из NSO Group потрудились на славу: созданный ими инструмент взлома аналитики признали одним из самых сложных на их памяти.

Исследование подтвердило, что точкой входа для Pegasus являлось приложение iMessage, которое Apple по умолчанию предустанавливает на iPhone и iPad. Эксплойт NSO Group, известный как FORCEDENTRY, заточен под RCE-уязвимость CVE-2021-30860, привязанную к iOS-фреймворку CoreGraphics (устранена в сентябре, с выпуском iOS 14.8).

Проблема проявлялась при парсинге PDF-файлов. Однако в чатах больше популярны «гифки», и для рендеринга разношерстных изображений как GIF мессенджер Apple использует API CoreGraphics. При этом на основе исходной картинки создается файл с расширением .gif, но при парсинге содержимого оно игнорируется.

Создатели FORCEDENTRY учли этот трюк с фейковыми GIF и спрятали свой код в PDF-файле, но, со слов Project Zero, сделали это очень нетривиально. Обычно в таких случаях злоумышленники вставляют в документ Javascript, но Apple использует устаревший кодек для сжатия черно-белых изображений — JBIG2, который не умеет обрабатывать скрипты.

Специалисты NSO Group создали собственный механизм запуска эксплойта — небольшой CPU (регистры, 64-битный сумматор, компаратор), работу которого способен эмулировать JBIG2. Выполнение побитовых операций при этом осуществляется с использованием более 70 тыс. специальных команд.

Процесс не столь быстр, как в случае с Javascript, но позволяет получить искомый результат — автоматическую загрузку эксплойта с выходом за пределы песочницы Apple. Исследователи также не преминули отметить, что FORCEDENTRY работает в фоновом режиме, не требуя участия жертвы — такого, как клик по вредоносной ссылке.

Проблема шпионского софта Pegasus последнее время часто обсуждается, и не только в СМИ. Чтобы уберечь своих пользователей от подобного шпионажа, Apple недавно обратилась в суд с просьбой ограничить злоупотребление ее продуктами и сервисами со стороны NSO Group. Перед этим в США ввели экспортные ограничения по разработкам этой израильской компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Континент 4 получил сертификат ФСБ России на функции криптозащиты

Компания «Код Безопасности» сообщила, что новая версия своего решения NGFW «Континент 4» прошла сертификацию ФСБ России по требованиям к средствам криптографической защиты информации (СКЗИ). Сертификат № СФ/124-5237 подтверждает, что сборка 4.2.1.653 соответствует классу КС2 и охватывает функционал IPSec VPN.

Таким образом, «Континент 4» стал первым в России продуктом класса NGFW, в котором реализован IKEv2/IPsec и который сертифицирован как ФСТЭК (версия 4.1.9), так и ФСБ (версия 4.2.1). В ближайшее время ожидается и новый сертификат ФСТЭК для актуальной версии.

По сути, устройство сочетает возможности межсетевого экрана нового поколения и криптошлюза. Это позволяет использовать его как в раздельном режиме (NGFW и VPN на разных устройствах), так и в объединённом варианте.

В новой версии реализована поддержка IPsec VPN с применением алгоритмов ГОСТ и RSA/AES, что особенно важно в условиях отказа от зарубежных решений VPN и межсетевых экранов.

Также добавлены функции, связанные с совместимостью и эксплуатацией в смешанных инфраструктурах: поддержка протокола RADIUS, GeoIP для ограничения подключений из определённых стран, новые параметры для TCP-сессий, расширенные возможности логирования и отчётности, а также менеджер конфигураций для Linux.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru