Используемый Pegasus эксплойт 0-click для iPhone признали крайне сложным

Используемый Pegasus эксплойт 0-click для iPhone признали крайне сложным

Используемый Pegasus эксплойт 0-click для iPhone признали крайне сложным

Эксперты Google Project Zero представили результаты разбора эксплойта, с помощью которого на iPhone активистов в Саудовской Аравии была установлена программа-шпион Pegasus. Как оказалось, разработчики из NSO Group потрудились на славу: созданный ими инструмент взлома аналитики признали одним из самых сложных на их памяти.

Исследование подтвердило, что точкой входа для Pegasus являлось приложение iMessage, которое Apple по умолчанию предустанавливает на iPhone и iPad. Эксплойт NSO Group, известный как FORCEDENTRY, заточен под RCE-уязвимость CVE-2021-30860, привязанную к iOS-фреймворку CoreGraphics (устранена в сентябре, с выпуском iOS 14.8).

Проблема проявлялась при парсинге PDF-файлов. Однако в чатах больше популярны «гифки», и для рендеринга разношерстных изображений как GIF мессенджер Apple использует API CoreGraphics. При этом на основе исходной картинки создается файл с расширением .gif, но при парсинге содержимого оно игнорируется.

Создатели FORCEDENTRY учли этот трюк с фейковыми GIF и спрятали свой код в PDF-файле, но, со слов Project Zero, сделали это очень нетривиально. Обычно в таких случаях злоумышленники вставляют в документ Javascript, но Apple использует устаревший кодек для сжатия черно-белых изображений — JBIG2, который не умеет обрабатывать скрипты.

Специалисты NSO Group создали собственный механизм запуска эксплойта — небольшой CPU (регистры, 64-битный сумматор, компаратор), работу которого способен эмулировать JBIG2. Выполнение побитовых операций при этом осуществляется с использованием более 70 тыс. специальных команд.

Процесс не столь быстр, как в случае с Javascript, но позволяет получить искомый результат — автоматическую загрузку эксплойта с выходом за пределы песочницы Apple. Исследователи также не преминули отметить, что FORCEDENTRY работает в фоновом режиме, не требуя участия жертвы — такого, как клик по вредоносной ссылке.

Проблема шпионского софта Pegasus последнее время часто обсуждается, и не только в СМИ. Чтобы уберечь своих пользователей от подобного шпионажа, Apple недавно обратилась в суд с просьбой ограничить злоупотребление ее продуктами и сервисами со стороны NSO Group. Перед этим в США ввели экспортные ограничения по разработкам этой израильской компании.

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru