Un ricercatore della società svedese di telecomunicazioni e sicurezza informatica Enea ha portato alla luce una tattica precedentemente sconosciuta che il gruppo israeliano NSO ha reso disponibile per l'uso nelle campagne per rilasciare il suo famigerato strumento spyware mobile Pegasus sui dispositivi mobili appartenenti a individui presi di mira in tutto il mondo.
Il ricercatore ha scoperto la tecnica esaminando una voce intitolata "MMS Fingerprint" su un contratto tra un rivenditore del gruppo NSO e l'autorità di regolamentazione delle telecomunicazioni del Ghana.
Il contratto faceva parte di documenti giudiziari disponibili al pubblico associati a una causa del 2019 che coinvolgeva WhatsApp e il gruppo NSO, per lo sfruttamento da parte di quest'ultimo di una falla di WhatsApp per implementare Pegasus su dispositivi appartenenti a giornalisti, attivisti per i diritti umani, avvocati e altri a livello globale.
Profilazione dei dispositivi con zero clic per Pegasus
Il contratto descriveva MMS Fingerprint come qualcosa che un cliente NSO poteva utilizzare per ottenere dettagli su un dispositivo BlackBerry, Android o iOS di destinazione e sulla sua versione del sistema operativo, semplicemente inviandogli un messaggio MMS (Multimedia Messaging Service).
"Non è richiesta alcuna interazione, coinvolgimento o apertura di messaggi da parte dell'utente per ricevere l'impronta digitale del dispositivo", si legge nel contratto.
In un post sul blog della scorsa settimana, Il ricercatore dell'ENEA Cathal McDaid ha affermato di aver deciso di indagare su quel riferimento perché "MMS Fingerprint" non era un termine conosciuto nel settore.
"Anche se dobbiamo sempre considerare che NSO Group potrebbe semplicemente 'inventare' o esagerare le capacità che afferma di avere (nella nostra esperienza, le società di sorveglianza regolarmente promettono eccessivamente le proprie capacità), il fatto che ciò fosse previsto da un contratto piuttosto che da una pubblicità suggerisce che era più probabile che fosse vero", ha scritto McDaid.
Impronte digitali dovute a problemi con il flusso degli MMS
L'indagine di McDaid lo ha portato rapidamente a concludere che la tecnica menzionata nel contratto del gruppo NSO probabilmente aveva a che fare con il flusso MMS stesso piuttosto che con eventuali vulnerabilità specifiche del sistema operativo.
Il flusso inizia in genere con l'invio iniziale di un messaggio MMS da parte del dispositivo del mittente al Centro MMS del mittente (MMSC). L'MMSC del mittente inoltra quindi il messaggio all'MMSC del destinatario, che poi notifica al dispositivo destinatario il messaggio MMS in attesa. Il dispositivo ricevente recupera quindi il messaggio dal suo MMSC, ha scritto McDaid.
Poiché gli sviluppatori di MMS lo hanno introdotto in un momento in cui non tutti i dispositivi mobili erano compatibili con il servizio, hanno deciso di utilizzare un tipo speciale di SMS (chiamato "WSP Push") come modo per notificare ai dispositivi destinatari i messaggi MMS in sospeso nel MMSC del destinatario. La successiva richiesta di recupero non è realmente un MMS ma una richiesta HHTP GET inviata a un URL di contenuto elencato in un campo di posizione del contenuto nella notifica, ha scritto il ricercatore.
"La cosa interessante qui è che all'interno di questo HTTP GET sono incluse le informazioni sul dispositivo dell'utente", ha scritto. McDaid ha concluso che questo probabilmente è stato il modo in cui il gruppo NSO ha ottenuto le informazioni sul dispositivo preso di mira.
McDaid ha testato la sua teoria utilizzando alcune schede SIM campione di un operatore di telecomunicazioni dell'Europa occidentale e dopo alcuni tentativi ed errori è stato in grado di ottenere informazioni sullo UserAgent del dispositivo di prova e informazioni sull'intestazione HTTP, che descrivevano le funzionalità del dispositivo. Ha concluso che gli attori del gruppo NSO potrebbero utilizzare le informazioni per sfruttare vulnerabilità specifiche nei sistemi operativi mobili o per personalizzare Pegasus e altri payload dannosi per i dispositivi target.
"Oppure, potrebbe essere utilizzato per creare campagne di phishing contro gli esseri umani che utilizzano il dispositivo in modo più efficace", ha osservato.
McDaid ha affermato che le sue indagini negli ultimi mesi non hanno portato alla luce alcuna prova che qualcuno abbia sfruttato finora la tecnica in natura.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal
- :ha
- :È
- :non
- 2019
- 7
- a
- capace
- WRI
- attori
- Aggiunge
- pubblicità
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- Tutti
- sempre
- an
- ed
- androide
- in qualsiasi
- chiunque
- Arsenal
- AS
- associato
- At
- attacco
- disponibile
- BE
- perché
- appartenente
- fra
- Blog
- ma
- by
- detto
- Responsabile Campagne
- funzionalità
- Carte
- centro
- Aziende
- compatibile
- concludere
- concluso
- Prendere in considerazione
- contenuto
- contratto
- potuto
- Corte
- artigianali
- cliente
- Cybersecurity
- deciso
- schierare
- descritta
- dettagli
- sviluppatori
- dispositivo
- dispositivi
- scoperto
- do
- documenti
- Cadere
- dovuto
- in maniera efficace
- Fidanzamento
- dal titolo
- iscrizione
- errore
- europeo
- prova
- esperienza
- Sfruttare
- sfruttamento
- sfruttando
- fatto
- lontano
- campo
- impronta
- Fingerprinting
- Impresa
- difetto
- flusso
- Nel
- da
- ottenere
- Ghana
- Globalmente
- Gruppo
- ha avuto
- Avere
- he
- Aiuto
- qui
- lui
- il suo
- Come
- http
- HTTPS
- umano
- in
- incluso
- individui
- industria
- info
- informazioni
- inizialmente
- interazione
- interessante
- ai miglioramenti
- introdotto
- indagare
- indagine
- Indagini
- coinvolgendo
- iOS
- Israele
- problema
- IT
- SUO
- stessa
- Giornalisti
- jpg
- conosciuto
- Cognome
- querela
- avvocati
- Guidato
- probabile
- elencati
- località
- cerca
- fatto
- maligno
- Maggio..
- menzionato
- messaggio
- messaggi
- di messaggistica
- Mobile
- dispositivi mobili
- mese
- Scopri di più
- Multimedia
- devono obbligatoriamente:
- no
- noto
- notifica
- famigerato
- ottenere
- ottenuto
- of
- on
- apertura
- operativo
- sistema operativo
- sistemi operativi
- operatore
- or
- Altro
- Altri
- nostro
- ancora
- parte
- passato
- Pegasus
- in attesa di
- phishing
- Platone
- Platone Data Intelligence
- PlatoneDati
- Post
- in precedenza
- pubblicamente
- Spingi
- rapidamente
- piuttosto
- di rose
- veramente
- ricevere
- riferimento
- regolarmente
- regolatore
- richiesta
- necessario
- ricercatore
- richiamo
- diritti
- s
- Suddetto
- campione
- trasmettitore
- invio
- inviato
- servizio
- alcuni
- SIM
- semplicemente
- sms
- So
- finora
- alcuni
- qualcosa
- la nostra speciale
- specifico
- Sponsored
- spyware
- inizio
- la presentazione
- successivo
- suggerisce
- sorveglianza
- svedese
- sistema
- SISTEMI DI TRATTAMENTO
- sarto
- Target
- mirata
- per l'esame
- telecom
- termine
- test
- testato
- di
- che
- Il
- loro
- poi
- teoria
- di
- cosa
- questo
- tempo
- a
- prova
- Digitare
- tipicamente
- Sconosciuto
- URL
- uso
- utilizzato
- Utente
- utilizzando
- versione
- vulnerabilità
- In attesa
- Prima
- Modo..
- we
- settimana
- sono stati
- Occidentale
- quando
- quale
- while
- Selvaggio
- con
- entro
- In tutto il mondo
- ha scritto
- zefiro
