Apple définit le jour zéro d’iMessage exploité par l’espionnage de Pegasus

Apple définit le jour zéro d’iMessage exploité par l’espionnage de Pegasus

14 septembre 2021 0 Par Le Caiman

Aurich Lawson | Getty Images

Apple a publié un certain nombre de mises à jour de sécurité cette semaine pour corriger la vulnérabilité « FORCEDENTRY » sur les appareils iOS. Pegasus, une application d’espionnage développée par la société israélienne NSO Group, a exploité la vulnérabilité « zéro clic, jour zéro », connue pour cibler des militants, des journalistes et des personnalités du monde entier.

Tracée en tant que CVE-2021-30860, la vulnérabilité ne nécessite qu’une petite interaction de la part d’un utilisateur d’iPhone – d’où le nom « FORCEDENTRY ».

Un iPhone actif a été découvert en Arabie saoudite

En mars, des chercheurs de Le Laboratoire Citoyen il a décidé d’analyser un iPhone actif anonyme d’Arabie Saoudite visé par l’espionnage de Pegasus NSO Group. Ils ont trouvé une sauvegarde iTunes de l’appareil et un examen du vidage a révélé 27 copies d’un mystérieux fichier GIF à divers endroits – sauf que les fichiers n’étaient pas des images.

Il s’agissait de fichiers Adobe Photoshop PSD enregistrés avec une extension « .gif » ; Les chercheurs ont décidé de surveiller de près les fichiers envoyés « au téléphone juste avant qu’ils ne soient retirés » par l’espion Pegasus.

« Malgré l’extension, le fichier était en fait un fichier Adobe PSD de 748 octets. Toutes les copies de ce fichier ont été causées par IMTranscoderAgent planter l’appareil », ont expliqué les chercheurs dans leur rapport.

Parce que ces accidents semblent comportement Les mêmes chercheurs avaient déjà vu les iPhones piratés de neuf militants bahreïnis, les chercheurs soupçonnaient que les GIF faisaient partie de la même chaîne de culture. Quelques autres faux GIF étaient également présents sur l’appareil ; Les fichiers Adobe PDF avec des noms de fichiers plus longs étaient considérés comme malveillants.

« Le Citizen Lab a révélé la vulnérabilité et le code à Apple, qui a attribué la vulnérabilité FORCEDENTRY CVE-2021-30860 et décrit la vulnérabilité comme » un traitement PDF mal intentionné peut entraîner l’exécution de code arbitraire «  », ont expliqué les auteurs du rapport.

Les chercheurs affirment que la vulnérabilité a été exploitée à distance par le groupe NSO depuis au moins février 2021 pour infecter les derniers appareils Apple avec l’espionnage Pegasus.

Apple publie des conseillers en sécurité

Hier, Apple a publié un peu de sécurité mises à jour pour corriger CVE-2021-30860 sur les appareils macOS, watchOS et iOS. Apple affirme que la vulnérabilité peut être exploitée en « traitant des fichiers PDF malveillants » et en accordant des capacités d’exécution de code aux attaquants.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a écrit Apple. l’un des conseillers, sans divulguer aucune information supplémentaire sur la façon dont la faille pourrait être exploitée.

Les utilisateurs d’iPhone et d’iPad doivent installer les dernières versions du système d’exploitation, iOS 14.8 et iPadOS 14.8, pour corriger le bogue. Les utilisateurs de Mac doivent passer à Catalina 2021-005 ou macOS Big Sur 11.6. Les personnes portant une Apple Watch devraient obtenir watchOS 7.6.2. Toutes les versions antérieures aux versions corrigées sont compromises.

Un chercheur anonyme a signalé une autre vulnérabilité d’exécution de code arbitraire dans le navigateur Safari. Tracée comme CVE-2021-30858, la vulnérabilité est inutile après avoir été corrigée par mettre à jour publié dans Safari 14.1.2.

« Nous avons tous des appareils personnels très sophistiqués qui ont de profondes implications pour la vie privée. Il existe de nombreux exemples de [these risks], comme la collecte de données d’applications – qu’Apple a récemment déplacée pour restreindre ses Application de suivi de la transparence framework, « Jesse Rothstein, CTO et co-fondateur de la société de sécurité réseau ExtraHop, a déclaré à Ars. » Tout système suffisamment sophistiqué pour être exploité présente des failles de sécurité, et les téléphones portables ne font pas exception. « 

« Pegasus montre comment les vulnérabilités anonymes peuvent être exploitées pour accéder à des informations personnelles hautement sensibles », a déclaré Rothstein. « Le groupe NSO est un exemple de la façon dont les gouvernements peuvent sous-traiter ou acheter des capacités cyber-armées. À mon avis, ce n’est pas un accord sur les armes – il n’est pas réglementé de cette façon. Les entreprises devront corriger leurs vulnérabilités, mais les réglementations aideront à prévenir certaines de ces cyber-armes d’être maltraitées ou de tomber entre de mauvaises mains. »

  • Jour Zéro