NSO Group voegt 'MMS Fingerprinting' zero-click-aanval toe aan Spyware Arsenal

Een onderzoeker bij het Zweedse telecom- en cyberbeveiligingsbedrijf Enea heeft een voorheen onbekende tactiek blootgelegd die de Israëlische NSO Group beschikbaar heeft gesteld voor gebruik in campagnes om zijn beruchte mobiele spyware-tool Pegasus te droppen op mobiele apparaten van doelgerichte individuen over de hele wereld.

De onderzoeker ontdekte de techniek toen hij een vermelding met de titel “MMS Fingerprint” onderzocht op een contract tussen een wederverkoper van de NSO Group en de Ghanese telecomtoezichthouder.

Het contract maakte deel uit van openbaar beschikbare gerechtelijke documenten die verband hielden met een rechtszaak uit 2019 waarbij WhatsApp en de NSO Group betrokken waren, over de exploitatie door laatstgenoemde van een WhatsApp-fout om Pegasus te implementeren op apparaten van journalisten. mensenrechtenactivisten, advocaten en anderen wereldwijd.

Zero-Click-apparaatprofilering voor Pegasus

In het contract werd MMS Fingerprint beschreven als iets dat een NSO-klant zou kunnen gebruiken om details te verkrijgen over een BlackBerry-, Android- of iOS-apparaat en de versie van het besturingssysteem, simpelweg door er een Multimedia Messaging Service (MMS) -bericht naar te sturen.

“Er is geen gebruikersinteractie, betrokkenheid of het openen van berichten vereist om de vingerafdruk van het apparaat te ontvangen”, aldus het contract.

In een blogpost van vorige week Enea-onderzoeker Cathal McDaid zei dat hij besloot die verwijzing te onderzoeken omdat ‘MMS Fingerprint’ geen bekende term was in de branche.

“Hoewel we er altijd rekening mee moeten houden dat NSO Group eenvoudigweg de capaciteiten die het beweert te hebben ‘uitvindt’ of overdrijft (naar onze ervaring beloven surveillancebedrijven regelmatig hun capaciteiten te veel), suggereert het feit dat dit op een contract stond en niet in een advertentie. dat het waarschijnlijker was dat het echt was”, schreef McDaid.

Vingerafdrukken vanwege een probleem met de MMS-stroom

Het onderzoek van McDaid bracht hem al snel tot de conclusie dat de techniek die in het NSO Group-contract wordt genoemd waarschijnlijk te maken had met de MMS-stroom zelf en niet met eventuele OS-specifieke kwetsbaarheden.

De stroom begint doorgaans wanneer het apparaat van een afzender in eerste instantie een MMS-bericht verzendt naar het MMS Center (MMSC) van de afzender. De MMSC van de afzender stuurt dat bericht vervolgens door naar de MMSC van de ontvanger, die vervolgens het ontvangende apparaat op de hoogte stelt van het wachtende MMS-bericht. Het ontvangende apparaat haalt het bericht vervolgens op uit zijn MMSC, schreef McDaid.

Omdat de ontwikkelaars van MMS het introduceerden in een tijd dat niet alle mobiele apparaten compatibel waren met de dienst, besloten ze een speciaal type sms te gebruiken (genaamd “WSP Push”) als een manier om ontvangende apparaten op de hoogte te stellen van in behandeling zijnde MMS-berichten in de de MMSC van de ontvanger. Het daaropvolgende ophaalverzoek is niet echt een MMS, maar een HHTP GET-verzoek dat wordt verzonden naar een inhouds-URL die wordt vermeld in een inhoudslocatieveld in de melding, schreef de onderzoeker.

“Het interessante hier is dat binnen deze HTTP GET informatie over het apparaat van de gebruiker wordt opgenomen”, schreef hij. McDaid concludeerde dat dit waarschijnlijk de manier was waarop de NSO Group de beoogde apparaatinformatie verkreeg.

McDaid testte zijn theorie met behulp van enkele voorbeeldsimkaarten van een West-Europese telecomoperator en kon na wat vallen en opstaan ​​een UserAgent-info en HTTP-headerinformatie van een testapparaat verkrijgen, die de mogelijkheden van het apparaat beschreven. Hij concludeerde dat actoren van de NSO Group de informatie zouden kunnen gebruiken om specifieke kwetsbaarheden in mobiele besturingssystemen te misbruiken, of om Pegasus en andere kwaadaardige payloads aan te passen aan doelapparaten.

“Of het kan worden gebruikt om phishing-campagnes tegen mensen die het apparaat effectiever gebruiken, effectiever te maken”, merkte hij op.

McDaid zei dat zijn onderzoek van de afgelopen maanden tot nu toe geen bewijs heeft opgeleverd dat iemand de techniek in het wild heeft misbruikt.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal