Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Project0 alla NSO group: “uno degli exploit tecnicamente più sofisticati”.

Redazione RHC : 21 Dicembre 2021 08:13

  

I ricercatori di sicurezza informatica di Google Project Zero hanno analizzato il malware FORCEDENTRY sviluppato dalla società israeliana NSO Group. Il software ha permesso agli aggressori di hackerare i dispositivi Apple all’insaputa del proprietario e di installare lo spyware Pegasus.

I ricercatori di P0 hanno concluso che questo è

“uno degli exploit tecnicamente più sofisticati”

che abbiano mai visto. Lo strumento compete con risorse

“precedentemente ritenute disponibili solo per un piccolo numero di Stati”.

Le versioni precedenti del software Pegasus richiedevano alla vittima di fare clic su un collegamento in un messaggio SMS. Ma FORCEDENTRY è un exploit a zero clic. Per installare malware, la vittima non ha bisogno di fare clic sul collegamento nel messaggio o addirittura di leggerlo.

Secondo gli esperti, questa è un’arma dalla quale non c’è protezione.

FORCEDENTRY ha sfruttato una vulnerabilità nel servizio SMS iMessage di Apple nella gestione dei file immagine GIF. Lo sfruttamento del problema ha consentito il download e l’apertura di un file PDF dannoso all’insaputa del target, consentendo all’aggressore di accedere ai dati in altre aree del dispositivo.

iMessage ha il supporto integrato per le immagini GIF. Apple voleva che queste GIF si ripetessero indefinitamente piuttosto che riprodurle solo una volta, quindi nella pipeline di analisi ed elaborazione di iMessage (dopo aver ricevuto il messaggio, ma molto prima che venga visualizzato), chiama un metodo nel processo IMTranscoderAgent (al di fuori della sandbox BlastDoor), passando qualsiasi file immagine risultante con estensione .gif: [IMGIFUtils copyGifFromPath: toDestinationPath: error].

Il servizio usa l’API CoreGraphics per eseguire il rendering dell’immagine di origine in un nuovo file GIF lungo il percorso di destinazione.

E solo perché il nome del file sorgente deve terminare con .gif non significa che sia effettivamente un file GIF. La libreria ImageIO viene utilizzata per indovinare il formato del file sorgente corretto e analizzarlo, ignorando completamente l’estensione del file. Usando questo trucco della “falsa GIF”, oltre 20 codec di immagine sono diventati improvvisamente parte della superficie di attacco zero-click di iMessage, inclusi alcuni formati molto oscuri e complessi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.