Появившийся в конце августа отчет Citizen Lab об использовании трех уязвимостей нулевого дня в iOS для слежки за правозащитниками подмочил репутацию израильской софтверной компании NSO Group и в обновленной редакции содержал сообщение о выпуске внеочередного патча для этого продукта Apple. На прошлой неделе разработчик залатал те же бреши в OS X и Safari.

На просьбу Threatpost пояснить, почему выпуск аналогичных патчей для десктопной ОС и веб-браузера заставил себя ждать, представители компании пока не откликнулись.

Трио уязвимостей, получившее наименование Trident («трезубец»), можно использовать для компрометации работающего под iOS или OS X устройства и исполнения произвольного кода. О Trident разработчику сообщили исследователи из Citizen Lab университета Торонто и эксперты компании Lookout, специализирующейся на обеспечении безопасности мобильных устройств. Некоторые технические подробности Trident и применения этих брешей против известного активиста из ОАЭ Ахмеда Мансура (Ahmed Mansoor) приведены на сайте citizenlab.org и в блоге Lookout.

Согласно этим записям, в начале прошлого месяца Мансур получил два SMS-сообщения, сулящих некую секретную информацию о пытках в арабских тюрьмах. Адресные SMS были снабжены ссылкой, по которой получателю предлагалось пройти, чтобы ознакомиться с «документом». Вместо этого Мансур предпочел переслать подозрительные сообщения в Citizen Lab и был прав: анализ выявил признаки потенциальной эксплойт-атаки, по всей видимости, связанной с NSO Group.

По свидетельству Citizen Lab и Lookout, случай с Мансуром — далеко не единственный пример применения инструментов для слежки за активистами. Так, в 2011 году была проведена аналогичная атака с использованием шпионской программы FinFisher, в 2012 году против правозащитника был применен шпион производства Hacking Team.

Новые патчи от Apple закрывают две уязвимости в ядре OS X (Yosemite 10.10.5 и El Capitan 10.11.6): CVE-2016-4655 влечет раскрытие памяти ядра, а CVE-2106-4656 представляет собой баг порчи памяти, чреватый исполнением произвольного кода с привилегиями ядра.

Выпуск Safari 9.1.3 закрывает брешь CVE-2016-4657 в реализации движка WebKit, на основе которого разработан этот браузер. Чтобы использовать уязвимость, атакующий должен, к примеру, заманить пользователя на сайт с эксплойтом; в случае успеха он получает возможность исполнить произвольный код на уязвимой машине.

WebKit-уязвимость особенно опасна на iOS, так как ее эксплойт позволяет полностью скомпрометировать мобильное устройство за один клик. Утечка информации ядра, по свидетельству Lookout, открывает возможность для определения положения ядра в памяти. Второй баг в ядре iOS можно использовать для скрытого джейлбрейка и установки, как в случае с Мансуром, шпионской программы Pegasus, которую NSO, по слухам, поставляет правительствам для слежки за высокопоставленными целями. Этот шпион умеет отслеживать телефонные звонки, SMS-сообщения, ввод с микрофона и веб-камеры. По данным Citizen Lab, Pegasus также использовался против мексиканского журналиста Рафаэля Кабреры (Rafael Cabrera).

«Это показывает, что некоторые правительства готовы платить огромные суммы, чтобы проникнуть в намерения и личную переписку людей, занимающих определенную жизненную позицию, — заявил исследователь из Citizen Lab Джон Скотт-Рейлтон (John Scott-Railton) в интервью Threatpost. — Данное исследование доказало эффективность совместной работы независимых организаций вроде Citizen Lab и диссидентов, а также других групп, не имеющих ресурсов и денег для приобретения средств безопасности корпоративного класса. Они не способны защититься самостоятельно, но не застрахованы от атак сложных зловредов. Мы полагаем, что атаки такого рода будут лишь усиливаться».

Уязвимости нулевого дня в iOS высоко ценятся на рынке эксплойтов. Так, в сентябре прошлого года компания Zerodium запустила программу Bug Bounty продолжительностью месяц, целью которой являлся поиск багов в iOS 9. Этот брокер покупает 0-day во всех основных мобильных и десктопных платформах, а также в стороннем ПО и распространяет эту информацию по подписке. Учредитель Zerodium Чауки Бекрар (Chaouki Bekrar) в Twitter опроверг предположение, будто нынешние 0-day в продуктах Apple — дело рук его компании.

Исследователь Эндрю Блайх (Andrew Blaich) из Lookout полагает, что бреши Trident в том или ином виде были привнесены в iOS 7 и могли использоваться еще в 2013 году.

Категории: Главное, Уязвимости