Используемый Pegasus эксплойт 0-click для iPhone признали крайне сложным
Главная » Новости

Используемый Pegasus эксплойт 0-click для iPhone признали крайне сложным

Татьяна Никитина 17 Декабря 2021 - 18:27
...
Используемый Pegasus эксплойт 0-click для iPhone признали крайне сложным

Эксперты Google Project Zero представили результаты разбора эксплойта, с помощью которого на iPhone активистов в Саудовской Аравии была установлена программа-шпион Pegasus. Как оказалось, разработчики из NSO Group потрудились на славу: созданный ими инструмент взлома аналитики признали одним из самых сложных на их памяти.

Исследование подтвердило, что точкой входа для Pegasus являлось приложение iMessage, которое Apple по умолчанию предустанавливает на iPhone и iPad. Эксплойт NSO Group, известный как FORCEDENTRY, заточен под RCE-уязвимость CVE-2021-30860, привязанную к iOS-фреймворку CoreGraphics (устранена в сентябре, с выпуском iOS 14.8).

Проблема проявлялась при парсинге PDF-файлов. Однако в чатах больше популярны «гифки», и для рендеринга разношерстных изображений как GIF мессенджер Apple использует API CoreGraphics. При этом на основе исходной картинки создается файл с расширением .gif, но при парсинге содержимого оно игнорируется.

Создатели FORCEDENTRY учли этот трюк с фейковыми GIF и спрятали свой код в PDF-файле, но, со слов Project Zero, сделали это очень нетривиально. Обычно в таких случаях злоумышленники вставляют в документ Javascript, но Apple использует устаревший кодек для сжатия черно-белых изображений — JBIG2, который не умеет обрабатывать скрипты.

Специалисты NSO Group создали собственный механизм запуска эксплойта — небольшой CPU (регистры, 64-битный сумматор, компаратор), работу которого способен эмулировать JBIG2. Выполнение побитовых операций при этом осуществляется с использованием более 70 тыс. специальных команд.

Процесс не столь быстр, как в случае с Javascript, но позволяет получить искомый результат — автоматическую загрузку эксплойта с выходом за пределы песочницы Apple. Исследователи также не преминули отметить, что FORCEDENTRY работает в фоновом режиме, не требуя участия жертвы — такого, как клик по вредоносной ссылке.

Проблема шпионского софта Pegasus последнее время часто обсуждается, и не только в СМИ. Чтобы уберечь своих пользователей от подобного шпионажа, Apple недавно обратилась в суд с просьбой ограничить злоупотребление ее продуктами и сервисами со стороны NSO Group. Перед этим в США ввели экспортные ограничения по разработкам этой израильской компании.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышла САКУРА 2.36: поддержка ARM и улучшения для VPN и AD
Екатерина Быстрова 17 Июля 2025 - 19:11
САКУРА Корпорации Сетевая безопасностьСистемы контроля сетевого доступаСистемы защиты от утечек конфиденциальной информации (DLP)Системы мониторинга событий безопасностиСистемы мониторинга эффективности сотрудниковСредства управления информационной безопасностьюСистемы реагирования и управления инцидентами (IRP) ИТ-Экспертиза (IT-Expertise)
Вышла САКУРА 2.36: поддержка ARM и улучшения для VPN и AD

Компания «ИТ-Экспертиза» представила новый релиз системы САКУРА версии 2.36. В нём расширена поддержка платформ, улучшена работа с VPN, добавлены новые отчёты и повышена производительность.

Что нового:

  • Для всех поддерживаемых ОС теперь доступны дистрибутивы Агента САКУРА как для архитектуры x86, так и для ARM.
  • В модуле учёта рабочего времени появился отчёт «Работа пользователей по дням» — для анализа активности сотрудников по датам.
  • Расширены возможности интеграции с VPN-сервисами:
    • В CheckPoint теперь можно использовать второй фактор от САКУРА и работать без привязки к Active Directory.
    • В решениях от АМИКОН появилась возможность задавать произвольные коды ответов для настройки доступа.
  • В Astra Linux реализована цифровая подпись агента — это сделано для работы в замкнутых средах (ЗПС).
  • Улучшена защита компонентов ПК ИБ и агента от модификаций.
  • Повышена гибкость синхронизации с Active Directory — добавлены фильтры по группам и пользователям.

Оптимизация и ускорение:

  • Переработан механизм получения VPN-пользователя из сертификатов — стало надёжнее и быстрее.
  • Ускорена работа проверок с типами «Сетевой доступ» и «Актуальность обновлений ОС».
  • Сценарии действия на рабочих местах теперь исполняются быстрее.
  • При старте Агента снижена нагрузка на систему — доработана логика применения настроек по умолчанию.
  • Меньше сетевого трафика: оптимизирован способ получения настроек с сервера.
  • Для macOS уменьшено количество запросов к ОС.
  • Улучшена работа с пуш-уведомлениями в мобильном приложении.

В релиз также вошли исправления ошибок, обнаруженных в предыдущих версиях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Вышел Ideco NGFW 20.0: гибкий VPN, DNS-over-TLS и GeoIP от Минцифры
Новость
Вышел Ideco NGFW 20.0: гибкий VPN, DNS-over-TLS и GeoIP от М...
На ЦИПР предложили баг-баунти для борьбы с кибермошенниками
Новость
На ЦИПР предложили баг-баунти для борьбы с кибермошенниками
Мошенники выдают себя за фонд «Защитники Отечества» перед 9 Мая
Новость
Мошенники выдают себя за фонд «Защитники Отечества» перед 9...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.