NSO Group lisää "MMS-sormenjälkien" nollanapsautushyökkäyksen vakoiluohjelmaarsenaaliin

Ruotsalaisen tele- ja kyberturvallisuusyrityksen Enean tutkija on paljastanut aiemmin tuntemattoman taktiikan, jonka Israelin NSO Group on asettanut käytettäväksi kampanjoissa, joilla se pudottaa pahamaineisen Pegasus-mobiilivakoiluohjelmansa mobiililaitteisiin, jotka kuuluvat kohdehenkilöille maailmanlaajuisesti.

Tutkija löysi tekniikan tutkiessaan merkintää nimeltä "MMS Fingerprint" NSO Groupin jälleenmyyjän ja Ghanan telealan sääntelyviranomaisen välisessä sopimuksessa.

Sopimus oli osa julkisesti saatavilla olevia oikeuden asiakirjoja, jotka liittyivät WhatsAppin ja NSO Groupin vuoden 2019 oikeudenkäyntiin, joka koski viimeksi mainitun WhatsApp-virheen hyödyntämistä Pegasuksen käyttöönottamiseksi toimittajille kuuluvissa laitteissa. ihmisoikeusaktivistit, lakimiehet ja muut maailmanlaajuisesti.

Nolla-napsautuslaiteprofilointi Pegasukselle

Sopimuksen mukaan MMS-sormenjälki on asia, jota NSO-asiakas voi käyttää saadakseen tietoja kohde-BlackBerry-, Android- tai iOS-laitteesta ja sen käyttöjärjestelmäversiosta yksinkertaisesti lähettämällä sille Multimedia Messaging Service (MMS) -viestin.

"Laitteen sormenjäljen vastaanottaminen ei vaadi käyttäjän toimia, sitoutumista tai viestin avaamista", sopimuksessa todettiin.

Viime viikon blogikirjoituksessa Enean tutkija Cathal McDaid sanoi päättäneensä tutkia tätä viittausta, koska "MMS-sormenjälki" ei ollut alalla tunnettu termi.

"Vaikka meidän on aina otettava huomioon, että NSO Group saattaa yksinkertaisesti "keksiä" tai liioitella kykyjään, jonka se väittää (kokemuksemme mukaan valvontayritykset lupaavat säännöllisesti yli kykyjään), se tosiasia, että kyseessä oli sopimus eikä mainos, viittaa että se oli todennäköisemmin totta", McDaid kirjoitti.

Sormenjäljet ​​MMS Flow -ongelman vuoksi

McDaidin tutkimus johti nopeasti siihen johtopäätökseen, että NSO Groupin sopimuksessa mainittu tekniikka liittyi todennäköisesti itse MMS-virtaan eikä käyttöjärjestelmäkohtaisiin haavoittuvuuksiin.

Menettely alkaa tyypillisesti siitä, että lähettäjän laite lähettää MMS-viestin alun perin lähettäjän MMS-keskukseen (MMSC). Sen jälkeen lähettäjän MMSC välittää viestin edelleen vastaanottajan MMSC:lle, joka sitten ilmoittaa vastaanottajalaitteelle odottavasta MMS-viestistä. Vastaanottajalaite hakee sitten viestin MMSC:stään, McDaid kirjoitti.

Koska MMS:n kehittäjät esittelivät sen aikana, jolloin kaikki mobiililaitteet eivät olleet yhteensopivia palvelun kanssa, he päättivät käyttää erityistä tekstiviestityyppiä ("WSP Push") tapana ilmoittaa vastaanottajille odottavista MMS-viesteistä. vastaanottajan MMSC. Myöhempi hakupyyntö ei todellakaan ole MMS, vaan HHTP GET -pyyntö, joka lähetetään ilmoituksen sisällön sijaintikentässä mainittuun sisältö-URL-osoitteeseen, tutkija kirjoitti.

"Mielenkiintoista tässä on, että tämä HTTP GET sisältää käyttäjän laitetiedot", hän kirjoitti. McDaid päätteli, että tämä oli todennäköisesti tapa, jolla NSO-ryhmä sai kohteena olevat laitetiedot.

McDaid testasi teoriaansa käyttämällä joitakin länsieurooppalaisen teleoperaattorin SIM-näytekortteja ja onnistui muutaman yrityksen ja erehdyksen jälkeen hankkimaan testilaitteen UserAgent-tiedot ja HTTP-otsikkotiedot, jotka kuvasivat laitteen ominaisuuksia. Hän päätteli, että NSO Groupin toimijat voisivat käyttää tietoja hyödyntääkseen tiettyjä mobiilikäyttöjärjestelmien haavoittuvuuksia tai räätälöidäkseen Pegasuksen ja muita haitallisia hyötykuormia kohdelaitteille.

"Tai sitä voitaisiin käyttää auttamaan tietojenkalastelukampanjoiden luomisessa laitetta tehokkaammin käyttäviä ihmisiä vastaan", hän huomautti.

McDaid sanoi, että hänen viimeisten kuukausien aikana tehdyt tutkimukset eivät ole löytäneet todisteita siitä, että kukaan olisi toistaiseksi käyttänyt tekniikkaa luonnossa.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal