Pegasus は政府がジャーナリストや政敵の iPhone に密かに侵入するために使用するスパイウェアで、iOS 15 と iOS 15 に影響を与える 3 つのゼロクリック エクスプロイトを使用しました。iOS162022年にメキシコで。

NSO Group は、世界中の政府や法執行機関に販売され、人々のデバイスを監視する監視ツールである Pegasus の悪名高き作成者です。ハッキングに使用されることで有名iPhone人権活動家ジャーナリストやジャーナリストにとって、このスパイウェアは NSO グループの顧客にとって関心のある人々のセキュリティとプライバシーに対する大きな脅威です。

以前にペガサスが使用していることが判明しましたが、ゼロクリックエクスプロイト~のセキュリティを破るiOS14、シチズンラボ発見しましたさらに 3 つのゼロクリックエクスプロイトが発生したインスタンス。今回、この 3 つは実行中の iPhone への侵入に使用されました。iOS15そしてiOS16。

同グループは、メキシコのデジタル人権団体レン・エド・ディフェンサ・デ・ロス・デレチョス・デジタルレスとの調査の一環として、2022年10月に新たなエクスプロイトを発見した。メキシコの人権擁護活動家が使用していた iPhone を調査したところ、Pegasus がデバイスに感染できる全く新しい方法として 3 つのエクスプロイトが発見されました。

一部のケースでは、この攻撃は 2022 年の出来事と一致していることが判明しました。アヨツィナパ事件」と、2015年の教師採用慣行に抗議する学生の失踪について言及している。人権団体セントロPRODHとメキシコの法律扶助会員は、2022年を通じて新たな感染の波の標的となった。

「FINDMYPWN」というタイトルの最初のエクスプロイトは、iOS 15.5 および iOS 15.6 に対して機能することが判明し、iOS 15.5 および iOS 15.6 に関連付けられた fmfd プロセスを使用しました。私のものを探す。プロセスが終了して再起動されると、このエクスプロイトにより、Find My に関連付けられたキャッシュ ディレクトリ内でアイテムが書き込まれ、削除されることが観察されました。

研究が継続中であることもあり、このエクスプロイトに関する情報は比較的ほとんど公開されていませんが、継続的な研究も行われています。シチズン ラボは、NSO グループによる検出を回避する取り組みがあり、そのような詳細を提供することがスパイウェア作成者の助けになると考えているため、感染の兆候は公開されていません。

「PWNYOURHOME」と呼ばれる 2 番目のエクスプロイトは 2 フェーズのゼロクリック エクスプロイトで、各フェーズは異なるプロセスを対象としています。デーモンのクラッシュホームキット最初のフェーズで使用され、続いてから PNG 画像をダウンロードしました。iメッセージBlastDoor がクラッシュします。

このエクスプロイトがどのようにして BlastDoor サンドボックスから逃れるかは不明ですが、このエクスプロイトが最終的にメディアサーバー経由で Pegasus を起動することが知られています。

CitizenLab は HomeKit の問題を Apple に明らかにし、その後 iOS 16.3.1 で修正されました。

どうやらそう見えるロックダウンモードiOS では、ホームへのアクセスが試行されたことを示す通知を表示することで、このエクスプロイトを使用して iPhone を攻撃しようとする試みについてユーザーに警告します。ただし、NSO がエクスプロイトの展開を停止した兆候はないため、NSO が通知のトリガーを回避する方法を見つけた可能性があります。

両方のエクスプロイトを発見した後、チームが以前のケースのフォレンジック分析を再チェックした後、3 番目のエクスプロイトが発見されました。 2022 年 1 月に遡り、iOS 15 に影響を与えるこのエクスプロイトは、デバイス上に「非常にわずかな痕跡」が残るため、「LATENTIMAGE」と呼ばれていました。

このエクスプロイトでは Find My が使用されていると考えられていますが、Citizen Lab はそれが最初の攻撃ベクトルであるかどうかを判断できませんでした。

続く脅威

Citizen Lab によると、攻撃の進化により、ペガサスは引き続き脅威となっています。 3 つのうち 2 つは、チームが観察した最初のゼロクリック エクスプロイトで、iPhone 上の 2 つの別々のリモート攻撃対象領域を使用します。

「この報告書で指摘したように、研究者をブロックし、感染の痕跡を隠蔽しようとするNSOグループの取り組みは、最終的にはまだ成功していないものの、エスカレートしており、将来の感染を特定する能力を維持しながら指標の公表とのバランスをとることなど、この種の調査の複雑な課題を浮き彫りにしている。 」とシチズンラボは書いています。

Citizen Lab は、「攻撃者にかかるコストが増加する」ため、リスクの高いユーザーに対してロックダウン モードを有効にするよう提案しています。

AppleInsiderまた、新しいソフトウェア アップデートがリリースされたときにデバイスを定期的にアップデートすることを強くお勧めします。これらにはバグ修正やセキュリティ更新プログラムが含まれているため、最新の保護機能を使用しないよりは使用した方が良いでしょう。