Спецпроекты

Безопасность Пользователю Стратегия безопасности Техника

Apple экстренно добавила в iPhone и iPad защиту от слежки силовиками

Выпущены исправления для двух критических уязвимостей в разработках Apple, использовавшихся, в том числе, для установки шпионской платформы Pegasus.

Без копыт и крыльев

Компания Apple выпустила обновления для двух критических уязвимостей, которые активно эксплуатировались киберзлоумышленниками. Одна из них использовалась для установки на смартфоны Apple iPhone шпионской программы Pegasus, разработанной скандально известной израильской фирмой NSO Group.

Уязвимости получили наименования CVE-2021-30858 и CVE-2021-30860; обе позволяют использовать специально подготовленные документы или веб-страницы для запуска произвольных команд на уязвимых устройствах.

CVE-2021-30858 - уязвимость класса use-after-free (повторное использование уже освобождённой области памяти) в компоненте WebKit. Она приводит к тому, что при посещении специально созданных вредоносных веб-страниц при у пользователей iPhone и устройств под macOS могут запускаться произвольные команды. Информация о «баге» была раскрыта анонимно.

В свою очередь, уязвимость CVE-2021-30860 выявлена в компоненте CoreGraphics. Это «классическая» ошибка переполнения целочисленного значения, которая позволяет с помощью специально подготовленных PDF-файлов запускать произвольные команды на устройствах под iOS и macOS. Проблема была выявлена экспертами компании Citizen Lab. В публикации этой компании указывается, что против уязвимости использовался эксплойт для службы iMessage под названием FORCEDENTRY. Эксплойт опасен уже тем, что совершенно не требует взаимодействия с пользователем - для него заражение происходит полностью незаметно.

Таран против бронированных дверей

Эксплойт FORCEDENTRY впервые был замечен в начале 2021 г.: его применяли для заражения «Пегасом» смартфонов активистов в Бахрейне. Как отмечается в публикации Citizen Labs, эксплойт был разработан в ответ на реализацию Apple нового защитного механизма в iOS 14 под названием BlastDoor. Этот механизм, по-видимому, лишил создателей Pegasus возможности использовать другой, более ранний эксплойт - в публикации Citizen Labs он упоминается под названием KISMET; он также использовал некую уязвимость в iMessage, не требовавшую никакого взаимодействия с пользователем.

Apple выпустила исправления для двух критических уязвимостей, через которые на iPhone, iPad и Watch устанавливалась шпионская программа Pegasus

«Насколько нам известно, информация об уязвимости KISMET так никогда в публичном поле и не появлялась, однако мы подозреваем, что эта уязвимость - если она всё ещё существует - больше не может эксплуатироваться в силу реализации механизма BlastDoor в Apple iOS 14. Мы полагаем, что NSO Group разработала FORCEDENTRY, эксплойт, позволяющий обходить BlastDoor, именно в ответ на появление этой защитной системы», - указывается в публикации Citizen Lab. По данным экспертов, FORCEDENTRY появился не позднее февраля 2021 года.

На уровне ООН

NSO Group в последние годы преследуют скандалы, связанные с тем, что её разработка Pegasus то и дело обнаруживается в самых неподобающих местах. NSO утверждает, что продаёт Pegasus только правительствам и только для борьбы с террористической угрозой, однако уже неоднократно доказано, что клиенты NSO - среди которых оказываются самые авторитарные и деспотичные режимы - используют Pegasus для тотальной слежки за людьми, никакого отношения к терроризму не имеющими.

В начале 2021 г. организация Amnesty International («Международная Амнистия») и несколько газет получили доступ к списку из 50 тыс. телефонных номеров, за которыми следили с помощью Pegasus. В числе объектов слежки оказались сотрудники The Associated Press, Reuters, CNN, The Wall Street Journal, Le Monde и The Financial Times. Программа Pegasus применялась также для слежки более чем за 600 политиков и чиновников, 65 руководителями различных бизнесов и 85 правозащитниками. Более того, в списке даже были главы нескольких государств.

В NSO все обвинения отвергают. Однако ещё прошлой весной стало известно, например, что бывший сотрудник NSO Group использовал Pegasus для слежки за собственной любовницей - и был пойман с поличным.

В августе этого года эксперты Совета по правам человека ООН потребовали ввести глобальный мораторий на распространение шпионских программных комплексов, подобных Pegasus производства NSO Group, поскольку они слишком широко и безо всяких ограничений используются для нарушения базовых прав граждан.

«Крайне опасно и безответственно позволять технологиям слежения и коммерческому сектору действовать в зоне, где не функционируют права человека», - говорилось в заявлении экспертов.

В публикации Citizen Lab NSO Group метко названа «поставщиком деспотизма-как-услуги». По мнению экспертов, рынок шпионских программ для спецслужб, «быстро растущий и высокоприбыльный», отчаянно нуждается в регулировании. Очевидно, речь идёт о международном регулировании - на сегодняшний день никакого специального законодательства, которое определяло бы предельно допустимый масштаб использования подобных программ, не существует.

«Перспективу появления такого законодательства переоценивать не стоит, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Причина не в том, что оно не актуально. Но на данный момент у международных организаций, даже ООН, не существует механизмов принудить государства к тому, чтобы начать регламентировать применение наступательных вооружений в киберпространстве, равно как и средств кибершпионажа. Поэтому пока что здесь правят бал всевозможные наёмники, обслуживающие всех, кто больше заплатит. У NSO Group сейчас могут быть крупные неприятности, в том числе с властями Израиля, но даже если эту фирму пустят по миру, на её место моментально придут другие».

Эксперт добавила, что ключевым фактором, делающим существование шпионского ПО возможным, является обилие уязвимостей в основных мобильных платформах и далеко не всегда оперативное устранение их вендорами.

С начала 2021 г., как отмечает издание Bleeping Computer, Apple вынуждена была устранять более десятка уязвимостей нулевого дня - то есть, уже активно эксплуатируемых - в операционных системах iOS и macOS.

Роман Георгиев

Короткая ссылка