A Amnistia Internacional afirma que uma vulnerabilidade de segurança no HomeKit foi usada para atingir iPhones pertencentes a jornalistas e ativistas sérvios.
A organização de direitos civis conduziu uma investigação depois que a Apple notificou duas das vítimas de que seus dispositivos haviam sido comprometidos pelo spyware Pegasus…
Ataques Pegasus da NSO detectados pela Apple
O Grupo NSO fabrica spyware chamado Pegasus, que é vendido ao governo e agências de aplicação da lei. A empresa compra as chamadas vulnerabilidades de dia zero (aquelas que são desconhecidas pela Apple) de hackers, e seu software é considerado capaz de montar explorações de zero clique – onde nenhuma interação do usuário é exigida pelo alvo.
Em particular, é relatado que simplesmente receber um determinado iMessage – sem abri-lo ou interagir com ele de qualquer forma – pode permitir que um iPhone seja comprometido, com dados pessoais expostos.
O iOS agora verifica proativamente os iPhones em busca de sinais de ataque do Pegasus, e a Apple envia alertas aos seus proprietários.
A Anistia confirmou os hacks
Anistia disse que as duas vítimas iniciais seguiram o conselho da Apple para obter ajuda e conseguiram confirmar os ataques.
Dois ativistas associados a importantes grupos de reflexão na Sérvia receberam notificações individuais da Apple sobre um possível “ataque patrocinado pelo Estado” direcionado aos seus dispositivos. (Eles então) contactaram a Fundação SHARE, com sede em Belgrado, que trabalhou com a Amnistia Internacional e a Access Now para realizar análises forenses separadas dos iPhones de ambos os indivíduos notificados (…)
A investigação técnica e forense permite à Amnistia Internacional confirmar agora que ambos os indivíduos
foram de fato alvo do spyware Pegasus do Grupo NSO.
Outras vítimas foram posteriormente identificadas.
HomeKit foi atacado para facilitar os ataques
A Anistia descobriu que uma aparente vulnerabilidade do HomeKit foi usada para realizar os ataques.
Os dois dispositivos foram atacados com minutos de diferença entre dois endereços de e-mail iCloud diferentes controlados por invasores. A Amnistia Internacional atribui ambas as contas de e-mail ao sistema de spyware Pegasus. A Amnistia Internacional encontrou frequentemente contas iCloud semelhantes usadas para enviar ataques Pegasus sem clique para dispositivos alvo através do iMessage (…)
Os vestígios de spyware direcionados através do serviço HomeKit da Apple assemelham-se muito às técnicas de ataque vistas em outros ataques Pegasus do Grupo NSO observados pelo Laboratório de Segurança da Amnistia Internacional no mesmo período.
O Laboratório de Segurança confirmou que um grupo separado de indivíduos na Índia, que recebeu notificações da Apple na mesma rodada de notificações, foi de fato alvo do Pegasus do Grupo NSO em agosto de 2023. Esses dispositivos na Índia também mostraram vestígios semelhantes de exploração do HomeKit antes do lançamento completo. A exploração do Pegasus foi enviada pelo iMessage.
Nenhum detalhe da vulnerabilidade do HomeKit foi compartilhado, provavelmente porque a Apple ainda está em processo de bloqueá-la.
Telefones Android também comprometidos
Smartphones Android também foram comprometidos no ataque. Além disso, a tecnologia da Cellebrite foi usada para instalar software de vigilância em seus dispositivos bloqueados depois que as vítimas foram à polícia para denunciar crimes – que provavelmente foram cometidos por funcionários públicos para levá-los às delegacias.
Essa rota específica dependia de uma vulnerabilidade do Android, portanto não poderia ser usada em iPhones.
Através 404 Mídia. Foto de Patrick Campanale sobre Remover respingo.