Cara Kerja Eksploitasi Peretasan iPhone NSO Group

Dec 23 2021

Selama bertahun-tahun, vendor spyware Israel NSO Group telah memicu ketakutan dan daya tarik ke dalam hati komunitas internasional dengan produk peretasannya — yang telah dijual ke pemerintah otoriter di seluruh dunia dan digunakan untuk melawan jurnalis, aktivis, politisi, dan siapa saja. lain cukup disayangkan untuk menjadi sasaran. Perusahaan, yang sering terlibat dalam skandal, sering tampak beroperasi seolah-olah dengan mantra digital—dengan serangan eksploit komersial yang tidak memerlukan phishing dan malware yang dapat melihat semuanya dan dapat menjangkau ruang digital yang paling pribadi.

Selama bertahun-tahun, vendor spyware Israel NSO Group telah memicu ketakutan dan daya tarik ke dalam hati komunitas internasional dengan produk peretasannya — yang telah dijual ke pemerintah otoriter di seluruh dunia dan digunakan untuk melawan jurnalis , aktivis , politisi, dan siapa saja . lain cukup disayangkan untuk menjadi sasaran. Perusahaan, yang sering terlibat dalam skandal, sering tampak beroperasi seolah-olah dengan mantra digital—dengan serangan eksploit komersial yang tidak memerlukan phishing dan malware yang dapat melihat semuanya dan dapat menjangkau ruang digital yang paling pribadi.

Tetapi beberapa rahasia gelap NSO terungkap secara terbuka minggu lalu, ketika para peneliti berhasil mendekonstruksi secara teknis bagaimana salah satu serangan "zero-click" perusahaan yang terkenal itu bekerja. Memang, para peneliti dengan Project Zero Google menerbitkan perincian terperinci yang menunjukkan bagaimana eksploitasi NSO, yang dijuluki "FORCEDENTRI", dapat dengan cepat dan diam-diam mengambil alih telepon.

Eksploitasi, yang dirancang untuk menargetkan iPhone Apple, diperkirakan telah menyebabkan peretasan perangkat di berbagai negara—termasuk beberapa pejabat Departemen Luar Negeri AS yang bekerja di Uganda. Rincian awal tentang hal itu ditangkap oleh Citizen Lab , sebuah unit penelitian di University of Toronto yang sering menerbitkan penelitian terkait aktivitas NSO. Peneliti Citizen Lab berhasil mendapatkan telepon yang telah mengalami serangan "zero-click" perusahaan dan, pada bulan September, menerbitkan penelitian awal tentang cara kerjanya. Sekitar waktu yang sama , Apple mengumumkan menggugat NSO dan juga menerbitkan pembaruan keamanan untuk menambal masalah terkait dengan eksploitasi.

Citizen Lab akhirnya membagikan temuannya dengan para peneliti Google yang, pada minggu lalu, akhirnya menerbitkan analisis mereka tentang serangan tersebut. Seperti yang Anda duga, ini sangat luar biasa — dan menakutkan — hal-hal.

“Berdasarkan penelitian dan temuan kami, kami menilai ini sebagai salah satu eksploitasi paling canggih secara teknis yang pernah kami lihat, lebih lanjut menunjukkan bahwa kemampuan yang disediakan NSO menyaingi yang sebelumnya dianggap hanya dapat diakses oleh segelintir negara,” tulis peneliti Ian Beer dan Samuel Groß.

Mungkin hal yang paling menakutkan tentang FORCEDENTRY adalah, menurut peneliti Google, satu-satunya hal yang diperlukan untuk meretas seseorang adalah nomor telepon atau nama pengguna AppleID mereka.

Dengan menggunakan salah satu pengidentifikasi tersebut, pengguna exploit NSO dapat dengan mudah mengkompromikan perangkat apa pun yang mereka inginkan. Proses serangannya sederhana: Apa yang tampak seperti GIF dikirim ke ponsel korban melalui iMessage. Namun, gambar yang dimaksud sebenarnya bukan GIF; sebaliknya, itu adalah PDF berbahaya yang telah didandani dengan ekstensi .gif. Di dalam file tersebut terdapat muatan berbahaya yang sangat canggih yang dapat membajak kerentanan dalam perangkat lunak pengolah gambar Apple dan menggunakannya untuk dengan cepat mengambil alih sumber daya berharga di dalam perangkat yang ditargetkan. Penerima bahkan tidak perlu mengklik gambar untuk mengaktifkan fungsinya yang berbahaya.

Secara teknis, yang dilakukan FORCEDENTRY adalah mengeksploitasi kerentanan zero-day dalam pustaka rendering gambar Apple, CoreGraphics —perangkat lunak yang digunakan iOS untuk memproses citra dan media pada perangkat. Kerentanan itu, yang secara resmi dilacak sebagai CVE-2021-30860 , dikaitkan dengan potongan lama kode sumber terbuka gratis yang tampaknya dimanfaatkan iOS untuk menyandikan dan mendekode file PDF— implementasi Xpdf dari JBIG2.

Di sinilah serangan menjadi sangat liar. Dengan mengeksploitasi kerentanan pemrosesan gambar, FORCEDENTRY dapat masuk ke dalam perangkat yang ditargetkan dan menggunakan memori telepon itu sendiri untuk membuat mesin virtual yang belum sempurna , yang pada dasarnya adalah "komputer di dalam komputer". Dari sana, mesin tersebut dapat melakukan "bootstrap" malware Pegasus NSO dari dalam, yang pada akhirnya menyampaikan data kembali ke siapa pun yang telah menerapkan eksploit tersebut.

Dalam pertukaran email dengan Gizmodo, Beer dan Groß menguraikan sedikit tentang cara kerja semua ini. Serangan itu "memasok file terkompresi JBIG2 yang melakukan ribuan operasi matematika dasar yang awalnya dimaksudkan untuk mendekompresi data," kata para peneliti. “Melalui operasi tersebut, pertama kali memicu kerentanan 'korupsi memori' di JBIG2, dan dengan itu memodifikasi memori dengan cara yang kemudian mengizinkan akses ke konten memori yang tidak terkait dalam operasi berikutnya.”

Dari sana, program “pada dasarnya membangun komputer kecil di atas operasi matematika dasar ini, yang digunakannya untuk menjalankan kode yang sekarang dapat mengakses memori lain dari iPhone yang diserang,” jelas para peneliti lebih lanjut. Setelah komputer mini aktif dan berjalan di dalam telepon yang ditargetkan, NSO menggunakannya untuk "menjalankan kode mereka sendiri (bukan milik Apple) dan menggunakannya untuk mem-bootstrap malware" dari dalam perangkat yang sebenarnya, tambah mereka.

Singkat cerita, eksploitasi NSO mampu menyita telepon korban dari dalam ke luar dan menggunakan sumber daya perangkat itu sendiri untuk mengatur dan menjalankan operasi pengawasannya.

Kerentanan yang terkait dengan eksploit ini telah diperbaiki dalam pembaruan iOS 14.8 Apple (dikeluarkan pada bulan September), meskipun beberapa peneliti komputer telah memperingatkan bahwa jika ponsel seseorang disusupi oleh Pegasus sebelum pembaruan, tambalan mungkin tidak melakukan banyak hal untuk mempertahankan penyusup. keluar.

Malware NSO dan metode peretasan misteriusnya telah menjadi subjek ketakutan dan spekulasi selama bertahun-tahun, jadi sungguh menakjubkan jika Google akhirnya membuka tabir tentang bagaimana ilmu hitam komputasi ini benar-benar bekerja.

Namun sementara cara kerja alat yang menakutkan ini akhirnya terungkap, pembuat alat tersebut saat ini sedang berjuang untuk bertahan hidup. Memang, NSO mengalami tahun yang sangat berat—saat perusahaan terdesak dari satu skandal bencana ke skandal berikutnya. Investigasi jurnalistik yang sedang berlangsung terhadap penyimpangan basis pelanggannya telah dipasangkan dengan berbagai tuntutan hukum dari beberapa perusahaan terbesar dunia, penyelidikan pemerintah, sanksi kuat dari AS, dan investor yang melarikan diri serta dukungan keuangan.

Koreksi: Versi sebelumnya dari cerita ini mengatakan bahwa Apple mengeluarkan tambalannya pada bulan Oktober. Pembaruan keamanan dikeluarkan pada bulan September.