Vad som än händer, USA:s president Joseph R. Biden Jr. ordspråk, NSO Group existerar fortfarande; privatiserad spiontjänst producerade nollklicksmissbruk mot iOS 15 och iOS 16 förra året, enligt den senaste Citizen Lab-rapport.
Det tyder också på att lockdown-läget är effektivt mot sådana attacker.
En trio av bedrifter som används på komplexa sätt.
Rapporten återspeglar vad Citizen Lab lärde sig från att utreda attacker mot mexikanska människorättsförsvarare. Forskarna drar slutsatsen att NSO Group, kallad “legosoldathackare” av Apple, har använt sig av minst tre noll-klick-operationer i Apples iPhone-operativsystem mot civilsamhällets mål runt om i världen. NSO Group är det ökända företaget som skapade Pegasus-verktyget som används för att spionera på människor.
Användningen av dessa övervakningsverktyg i Mexiko är problematisk, med tanke på den långa historien av kränkningar av mänskliga rättigheter där, som sträcker sig till utomrättsliga avrättningar och påtvingade försvinnanden.
Citizen Labs bravader användes mot människorättsförsvarare som representerade familjerna till 43 kidnappade studenter, och åtminstone en riktad person verkar ha varit måltavla med NSO Groups spionprogram vid ett flertal tillfällen, står det i rapporten.
Undersökningen identifierar tre attacker, kallade “PWNYOURHOME”, “FINDMYPW” och “LATENTIMAGE”. Det verkar också som att NSO Group engagerar sig i allt mer komplexa attackmekanismer när de försöker undergräva målen för det civila samhället runt om i världen.
Till exempel var PWNYOURHOME ett tvåstegs no-click-exploat där varje steg riktar sig mot en annan process på iPhone. Det första steget syftar till HomeKit; den andra iMessage regisserad. Säkerhetsforskare delade sina resultat med Apple och företaget utfärdade kritiska säkerhetsförbättringar för HomeKit i iOS 16.3.1.
Legosoldaterna vill gömma sig
Låsläge tycks ge ett ganska effektivt skydd mot sådana utnyttjande. Citizen Lab säger att enheter i det läget först varnades om PWNYOURHOME-hacket användes mot enheten, även om detta inte längre är fallet, vilket illustrerar den pågående katt-och-råtta-striden mellan plattformsleverantörer och kriminella grupper, rika legosoldater.
Forskarna varnar:
“Vi fortsätter att observera vad vi tolkar som samordnade ansträngningar från NSO Group för att undvika upptäckt genom de metoder som implementerats av forskare. Till exempel, till skillnad från tidigare versioner av Pegasus, verkar versioner som distribuerades 2022 mer noggrant ta bort data från olika iPhone-loggfiler, i ett uppenbart försök att förhindra forskare från att förstå karaktären av de sårbarheter som utnyttjas för att äventyra telefoner och undvika upptäckt.”
Vad du ska göra för att skydda dig själv
Oroväckande, även om det kanske inte är förvånande, är i vilken utsträckning NSO Group och andra övervaknings-som-en-tjänsteleverantörer fortsätter att se sina bedrifter användas mot människorättsförsvarare. Också oroande är att gruppen utvecklar sina attacker till flerstegsattacker.
Som svar uppmuntrar Citizen Lab utvecklare att tänka djupare på enhetssäkerhet och “behandla hela ytan som är tillgänglig genom en enda identifierare som en enda yta.” Inom tekniken, precis som i den verkliga världen, är ingen säker förrän alla är säkra. .
En annan rekommendation är att fortsätta fördunkla enheter för att göra dem svåra att spåra och för att göra det ännu svårare för angripare att exekvera godtycklig kod på dem. “Vi rekommenderar starkt alla användare i riskzonen att aktivera låsläge på sina Apple-enheter. Även om funktionen kommer till en användbarhetskostnad, tror vi att kostnaden kan kompenseras av den ökade kostnaden för angripare, säger Citizen Lab.
Amoraliska legosoldathackare som NSO Group förblir ett stort hot mot företag och civilsamhälle varhelst deras verktyg används. Det obekväma faktumet med sådana utnyttjande är att dessa verktyg så småningom blir tillgängliga på den mörka webben och när de väl gör det hotar de alla användare. NSO Group är inte unik. Israel verkar ha skapat flera av dessa grupper, inklusive den mer hemlighetsfulla QuaDream som avslöjades förra veckan.
Det är också ett faktum att Apple arbetar mycket hårt för att skydda användare mot den här typen av attacker. A Apples talesman lovade“Våra säkerhetsteam runt om i världen kommer att fortsätta arbeta outtröttligt för att avancera låsningsläget och stärka säkerheten och integritetsskyddet på iOS.”
Med detta i åtanke är det lämpligaste steget att se till att du och dina kollegor installerar Apples säkerhetskorrigeringar så snart de är tillgängliga.
Om du är en högriskperson som tror att du kan bli attackerad bör du göra det använd låsläge, eftersom kostnaden och konsekvenserna av att bli attackerad vida kan uppväga olägenheterna. När allt kommer omkring är risken för sådana attacker att data som extraherats från människors enheter kan missbrukas, användas för att skapa en orättvis kommersiell fördel och till och med leda till förlust av liv.
Det här är en bransch som måste kontrolleras.
