Het Israëlische bedrijf NSO Group claimt dat zijn bijgewerkte multi-miljoen dollar surveillance tool, Pegasus genaamd, nu ook gegevens kan extraheren uit cloudservices zoals iCloud, Google Drive en Facebook Messenger, onder andere van een geïnfecteerde iPhone of Android-smartphone.
Volgens een paywall-rapport dat gisteren werd gepubliceerd door The Financial Times, werkt de app op de nieuwste iPhone- en Android-smartphones en profiteert van exploits om te blijven werken, zelfs nadat de tool door de gebruiker is verwijderd.
Van de nieuwe techniek wordt gezegd dat deze de authenticatiesleutels van services zoals Google Drive, Facebook Messenger en iCloud kopieert van onder andere een geïnfecteerde telefoon, waardoor een afzonderlijke server zich vervolgens kan voordoen als de telefoon, inclusief de locatie. Dit geeft open toegang tot de cloudgegevens van die apps zonder 'volgens 2 verkoopstappen authenticatie of waarschuwingsmail op doelapparaat', volgens één verkoopdocument.
Het stelen van authenticatietokens is een oude techniek om toegang te krijgen tot iemands cloudaccount zonder hun gebruikersnaam, wachtwoord of tweestapsverificatiecodes. In tegenstelling tot de coderingssleutels die iOS gebruikt om uw lokale gegevens te beveiligen, worden deze authenticatietokens niet opgeslagen in de Secure Enclave van Apple die is ommuurd ten opzichte van de rest van het systeem.
Dit is het antwoord van Apple:
iOS is het veiligste en veiligste computerplatform ter wereld. Hoewel er misschien dure tools beschikbaar zijn om gerichte aanvallen uit te voeren op een zeer klein aantal apparaten, geloven we niet dat deze nuttig zijn voor wijdverspreide aanvallen op consumenten.
Vreemd genoeg ontkent Apple niet dat een dergelijke mogelijkheid zou kunnen bestaan. De tech-gigant voegde eraan toe dat het zijn mobiele besturingssysteem en beveiligingsinstellingen regelmatig bijwerkt om gebruikers te beschermen.
Hoewel NSO Group ontkende reclame te maken voor hacking of massa-surveillance tools voor cloudservices, ontkende het niet specifiek dat het de mogelijkheid had ontwikkeld die in de documenten wordt beschreven.
Cruciaal is dat de tool op elk apparaat werkt "dat Pegasus kan infecteren".
Een pitchdocument van het moederbedrijf van NSO, Q-Cyber, dat eerder dit jaar werd voorbereid voor de regering van Oeganda, publiceerde het vermogen van Pegasus om 'de sleutels op te halen die cloudkluizen openen' en 'onafhankelijk synchroniseren en extraheren van gegevens'.
Toegang hebben tot een 'cloud-eindpunt' betekent dat afluisteraars 'ver boven smartphone-inhoud' kunnen bereiken, waardoor informatie over een doelwit vanuit meerdere apps en services kan 'rollen', zo beweerde het verkooppraatje. Het is nog niet duidelijk of de Oegandese overheid de dienst heeft gekocht, die miljoenen dollars kost.
Neem de claims van NSO Group met een korreltje zout.
Dit is niet de eerste keer dat iemand gewaagde beweringen heeft gedaan over het omzeilen van de beveiligingsfuncties van de speciaal ontworpen chips van Apple en de iOS-software die de iPhone en iPad voedt. Het is waar dat wetshandhavers er niet voor terughouden miljoenen dollars te betalen aan rechten voor het gebruik van dergelijke software. Het is ook waar dat de FBI zich uiteindelijk tot Pegasus wendde om een telefoon van de San Bernardino-shooter te ontgrendelen. Het is echter ook waar dat dit een oudere iPhone was zonder de Secure Enclave cryptografische coprocessor van Apple, die volledige schijfcodering en hardwarebescherming biedt voor de schijfcoderingssleutels.
Toch zijn tools zoals Pegasus misschien gebruikt om zelfs moderne iPhones te hacken, maar dat komt omdat hun eigenaars dwaas genoeg waren om een malafide app te installeren die malware bevatte. Andere technieken zijn het installeren van een onzichtbare VPN om netwerkverkeer te snuiven, een zwakke toegangscode te kraken of een groot toezicht uit te oefenen op de kant van een gebruiker die een aanvalsvector kan openen.
Het lijkt er niet op dat Pegasus misbruik maakt van een iOS-kwetsbaarheid om bij uw cloudgegevens te komen.
Een van de pitchdocumenten bood een ouderwetse manier om dit soort afluisteren te dwarsbomen: het wachtwoord van een app wijzigen en de inlogmachtiging intrekken. Dat annuleert de levensvatbaarheid van het gerepliceerde authenticatietoken totdat, volgens het document, Pegasus opnieuw wordt geïmplementeerd.
Ja, iOS-exploits bestaan wel en sommige worden nooit bekendgemaakt, maar het agressieve software-updatemechanisme van Apple installeert patches snel. Voor zover ik weet, heeft geen enkel beveiligingsbedrijf nog ondubbelzinnig beweerd dat het de nieuwste iPhones kan hacken.
Pegasus werd onlangs gebruikt om WhatsApp te hacken via een onbekende kwetsbaarheid. WhatsApp heeft sindsdien de maas in de wet gesloten en het Amerikaanse ministerie van Justitie onderzoekt dit.
gedachten?