Исследователь шведской компании Enea в области телекоммуникаций и кибербезопасности обнаружил ранее неизвестную тактику, которую израильская группа NSO предоставила для использования в кампаниях по установке своего пресловутого мобильного шпионского ПО Pegasus на мобильные устройства, принадлежащие целевым лицам по всему миру.
Исследователь обнаружил этот метод, изучая запись под названием «Отпечаток пальца MMS» в контракте между реселлером NSO Group и регулятором телекоммуникаций Ганы.
Контракт был частью общедоступных судебных документов, связанных с судебным иском 2019 года между WhatsApp и NSO Group по поводу использования последней уязвимости в WhatsApp для развертывания Pegasus на устройствах, принадлежащих журналистам. правозащитники, юристы и другие люди по всему миру.
Профилирование устройств с нулевым щелчком для Pegasus
В контракте MMS Fingerprint описывался как нечто, что клиент NSO мог использовать для получения подробной информации о целевом устройстве BlackBerry, Android или iOS и версии его операционной системы, просто отправив на него сообщение службы мультимедийных сообщений (MMS).
«Для получения отпечатка устройства не требуется никакого взаимодействия с пользователем, участия или открытия сообщения», — отмечается в контракте.
В сообщении в блоге на прошлой неделе Исследователь Enea Катал МакДэйд сказал, что решил изучить эту ссылку, потому что термин «отпечаток пальца MMS» не был известен в отрасли.
«Хотя мы всегда должны учитывать, что NSO Group, возможно, просто «изобретает» или преувеличивает возможности, о которых она заявляет (по нашему опыту, компании, занимающиеся наблюдением, регулярно обещают завышенные свои возможности), тот факт, что это было по контракту, а не в рекламе, предполагает что это, скорее всего, было на самом деле», — написал МакДэйд.
Снятие отпечатков пальцев из-за проблем с потоком MMS
Расследование Макдэйда быстро привело его к выводу, что метод, упомянутый в контракте с NSO Group, вероятно, был связан с самим потоком MMS, а не с какими-либо уязвимостями, специфичными для ОС.
Поток обычно начинается с того, что устройство отправителя первоначально отправляет MMS-сообщение в MMS-центр отправителя (MMSC). Затем MMSC отправителя пересылает это сообщение в MMSC получателя, который затем уведомляет устройство-получатель об ожидающем MMS-сообщении. Устройство-получатель затем извлекает сообщение из своего MMSC, пишет МакДэйд.
Поскольку разработчики MMS представили его в то время, когда не все мобильные устройства были совместимы с этой услугой, они решили использовать специальный тип SMS (называемый «WSP Push») как способ уведомлять устройства-получатели об ожидающих MMS-сообщениях в сети. MMSC получателя. Последующий запрос на получение на самом деле является не MMS, а запросом HHTP GET, отправленным на URL-адрес контента, указанный в поле местоположения контента в уведомлении, пишет исследователь.
«Интересно то, что в этот HTTP GET включена информация о пользовательском устройстве», — написал он. Макдэйд пришел к выводу, что, скорее всего, именно таким образом группа NSO получила информацию о целевом устройстве.
Макдэйд проверил свою теорию, используя несколько образцов SIM-карт западноевропейского оператора связи, и после некоторых проб и ошибок смог получить информацию UserAgent тестового устройства и информацию заголовка HTTP, в которой описывались возможности устройства. Он пришел к выводу, что участники группы NSO могут использовать информацию для использования определенных уязвимостей в мобильных операционных системах или для адаптации Pegasus и других вредоносных полезных нагрузок для целевых устройств.
«Или его можно использовать для более эффективной разработки фишинговых кампаний против людей, использующих это устройство», — отметил он.
Макдэйд сказал, что его расследования, проведенные за последние несколько месяцев, пока не выявили никаких доказательств того, что кто-либо использовал эту технику в дикой природе.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal
- :имеет
- :является
- :нет
- 2019
- 7
- a
- в состоянии
- О нас
- актеры
- Добавляет
- Реклама
- После
- против
- Все
- всегда
- an
- и
- android
- любой
- кто угодно
- Арсенал
- AS
- связанный
- At
- атаковать
- доступен
- BE
- , так как:
- принадлежащий
- между
- Блог
- но
- by
- под названием
- Кампании
- возможности
- Карты
- Центр
- требования
- Компании
- совместим
- вывод
- в заключении исследования, финансируемого Центрами по контролю и профилактике заболеваний (CDC) и написанного бывшим начальником полиции Вермонта
- Рассматривать
- содержание
- контракт
- может
- корт
- выработать
- клиент
- Информационная безопасность
- решенный
- развертывание
- описано
- подробнее
- застройщиков
- устройство
- Устройства
- открытый
- do
- Документация
- Падение
- два
- фактически
- обязательство
- озаглавленный
- запись
- ошибка
- Европейская кухня
- , поскольку большинство сенаторов
- опыт
- Эксплуатировать
- эксплуатация
- эксплуатации
- факт
- далеко
- поле
- отпечаток пальца
- Дактилоскопия
- Фирма
- недостаток
- поток
- Что касается
- от
- получить
- Гана
- ГЛОБАЛЬНО
- группы
- было
- Есть
- he
- помощь
- здесь
- его
- его
- Как
- HTTP
- HTTPS
- человек
- in
- включены
- лиц
- промышленность
- info
- информация
- первоначально
- взаимодействие
- интересный
- в
- выпустили
- исследовать
- ходе расследования,
- Исследования
- с участием
- iOS
- Израиль
- вопрос
- IT
- ЕГО
- саму трезвость
- Журналисты
- JPG
- известный
- Фамилия
- судебный процесс
- Адвокаты
- привело
- Вероятно
- Включенный в список
- расположение
- искать
- сделанный
- злонамеренный
- Май..
- упомянутый
- сообщение
- Сообщения
- обмен сообщениями
- Мобильный телефон
- мобильных устройств
- месяцев
- БОЛЕЕ
- Мультимедиа
- должен
- нет
- отметил,
- уведомление
- печально известный
- получать
- полученный
- of
- on
- открытие
- операционный
- операционная система
- операционные системы
- оператор
- or
- Другое
- Другое
- наши
- за
- часть
- мимо
- Pegasus
- в ожидании
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- После
- предварительно
- публично
- Push
- быстро
- скорее
- реальные
- на самом деле
- Получать
- ссылка
- регулярно
- регулятор
- запросить
- обязательный
- исследователь
- поиск
- правые
- s
- Сказал
- образец
- отправитель
- отправка
- послать
- обслуживание
- несколько
- SIM
- просто
- SMS
- So
- уже
- некоторые
- удалось
- особый
- конкретный
- Спонсоров
- шпионских программ
- начинается
- предоставление
- последующее
- Предлагает
- наблюдение
- Шведский
- система
- системы
- портной
- цель
- целевое
- техника
- телеком
- срок
- тестXNUMX
- проверенный
- чем
- который
- Ассоциация
- их
- тогда
- теория
- они
- задача
- этой
- время
- в
- инструментом
- суд
- напишите
- типично
- неизвестный
- URL
- использование
- используемый
- Информация о пользователе
- через
- версия
- Уязвимости
- Ожидание
- законопроект
- Путь..
- we
- неделя
- были
- западный
- когда
- , которые
- в то время как
- Дикий
- в
- по всему миру
- писал
- зефирнет