Дослідник шведської фірми з телекомунікацій та кібербезпеки Enea виявив раніше невідому тактику, яку ізраїльська NSO Group надала для використання в кампаніях із запровадження свого сумнозвісного мобільного шпигунського програмного забезпечення Pegasus на мобільних пристроях, що належать цільовим особам у всьому світі.
Дослідник виявив цю техніку, переглядаючи запис під назвою «Відбиток MMS» у контракті між торговим посередником NSO Group і телекомунікаційним регулятором Гани.
Контракт був частиною загальнодоступних судових документів, пов’язаних із позовом 2019 року за участю WhatsApp і NSO Group щодо використання останньою недоліку WhatsApp для розгортання Pegasus на пристроях, що належать журналістам, правозахисники, юристи та інші в усьому світі.
Профілювання пристроїв Zero-Click для Pegasus
Контракт описує MMS Fingerprint як щось, що клієнт NSO може використовувати для отримання деталей про цільовий пристрій BlackBerry, Android або iOS і його версію операційної системи, просто надіславши на нього повідомлення служби мультимедійних повідомлень (MMS).
«Для отримання відбитка пристрою не потрібна взаємодія з користувачем, взаємодія чи відкриття повідомлення», — зазначено в контракті.
У дописі в блозі минулого тижня Дослідник Enea Катал МакДейд сказав, що вирішив дослідити це посилання, оскільки «відбиток пальця MMS» не є відомим терміном у галузі.
«Хоча ми завжди повинні враховувати, що NSO Group може просто «вигадувати» або перебільшувати можливості, про які вона стверджує (з нашого досвіду, компанії спостереження регулярно перевищують свої можливості), той факт, що це було за контрактом, а не рекламою, говорить про те, що що, швидше за все, це справді», — написав Макдейд.
Зняття відбитків пальців через проблему з потоком MMS
Розслідування, проведене МакДейдом, швидко привело його до висновку, що техніка, згадана в контракті з NSO Group, швидше за все, пов’язана з самим потоком MMS, а не з уразливістю ОС.
Потік зазвичай починається з того, що пристрій відправника спочатку надсилає MMS-повідомлення до MMS-центру (MMSC) відправника. Потім MMSC відправника пересилає це повідомлення до MMSC одержувача, який потім сповіщає пристрій одержувача про очікуване MMS-повідомлення. Потім пристрій одержувача отримує повідомлення зі свого MMSC, написав Макдейд.
Оскільки розробники MMS представили його в той час, коли не всі мобільні пристрої були сумісні з цією послугою, вони вирішили використовувати спеціальний тип SMS (так званий «WSP Push») як спосіб сповіщення пристроїв одержувачів про очікувані MMS-повідомлення в MMSC одержувача. Подальший запит на отримання насправді не є MMS, а запитом HHTP GET, надісланим на URL-адресу вмісту, указану в полі розташування вмісту в сповіщенні, написав дослідник.
«Цікаво тут те, що в цей HTTP GET включена інформація про пристрій користувача», — написав він. Макдейд дійшов висновку, що, ймовірно, саме так NSO Group отримала інформацію про цільовий пристрій.
Макдейд перевірив свою теорію, використовуючи кілька зразків SIM-карт від західноєвропейського оператора зв’язку, і після деяких проб і помилок зміг отримати інформацію UserAgent тестового пристрою та інформацію заголовка HTTP, які описували можливості пристрою. Він дійшов висновку, що учасники NSO Group можуть використовувати інформацію для використання певних уразливостей у мобільних операційних системах або для адаптації Pegasus та інших шкідливих програм для цільових пристроїв.
«Або його можна використати для більш ефективного створення фішингових кампаній проти людей, які використовують пристрій», — зазначив він.
МакДейд сказав, що його розслідування протягом останніх кількох місяців не знайшли жодних доказів того, що хтось використовує цю техніку в дикій природі.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal
- : має
- :є
- : ні
- 2019
- 7
- a
- Здатний
- МЕНЮ
- актори
- Додає
- реклама
- після
- проти
- ВСІ
- завжди
- an
- та
- чоловіча
- будь-який
- будь
- арсенал
- AS
- асоційований
- At
- атака
- доступний
- BE
- оскільки
- належність
- між
- Блог
- але
- by
- званий
- Кампанії
- можливості
- Cards
- Центр
- претензій
- Компанії
- сумісний
- укладає
- уклали
- Вважати
- зміст
- контракт
- може
- Суд
- виробити
- клієнт
- Кібербезпека
- вирішене
- розгортання
- описаний
- деталі
- розробників
- пристрій
- прилади
- відкритий
- do
- документація
- Падіння
- два
- фактично
- зачеплення
- Озаглавлений
- запис
- помилка
- Європейська
- докази
- досвід
- Експлуатувати
- експлуатація
- експлуатація
- факт
- далеко
- поле
- відбиток пальця
- Дактилоскопія
- Фірма
- недолік
- потік
- для
- від
- отримати
- Гана
- Глобально
- Group
- було
- Мати
- he
- допомога
- тут
- його
- його
- Як
- HTTP
- HTTPS
- людина
- in
- включені
- осіб
- промисловість
- інформація
- інформація
- спочатку
- взаємодія
- цікавий
- в
- введені
- дослідити
- дослідження
- Дослідження
- за участю
- iOS
- Ізраїль
- питання
- IT
- ЙОГО
- сам
- журналісти
- JPG
- відомий
- останній
- позов
- адвокати
- Led
- Ймовірно
- Перераховані
- розташування
- шукати
- made
- malicious
- Може..
- згаданий
- повідомлення
- повідомлення
- обмін повідомленнями
- Mobile
- мобільні пристрої
- місяців
- більше
- мультимедіа
- повинен
- немає
- зазначив,
- сповіщення
- горезвісний
- отримувати
- отриманий
- of
- on
- відкриття
- операційний
- операційна система
- операційні системи
- оператор
- or
- Інше
- інші
- наші
- над
- частина
- Минуле
- Пегас
- в очікуванні
- phishing
- plato
- Інформація про дані Платона
- PlatoData
- пошта
- раніше
- публічно
- Штовхати
- швидко
- швидше
- реальний
- насправді
- отримати
- посилання
- регулярно
- регулятор
- запросити
- вимагається
- дослідник
- пошук
- праві
- s
- Зазначений
- зразок
- відправника
- відправка
- посланий
- обслуговування
- кілька
- ТАК
- просто
- SMS
- So
- так далеко
- деякі
- що в сім'ї щось
- спеціальний
- конкретний
- Рекламні
- шпигунських програм
- починається
- подання
- наступні
- Запропонує
- спостереження
- шведську мову
- система
- Systems
- кравець
- Мета
- цільове
- техніка
- телеком
- термін
- тест
- перевірений
- ніж
- Що
- Команда
- їх
- потім
- теорія
- вони
- річ
- це
- час
- до
- інструмент
- суд
- тип
- типово
- невідомий
- URL
- використання
- використовуваний
- користувач
- використання
- версія
- Уразливості
- Очікування
- було
- шлях..
- we
- week
- були
- Western
- коли
- який
- в той час як
- Wild
- з
- в
- світовий
- пише
- зефірнет