1 Punkte von GN⁺ 2023-09-08 | 1 Kommentare | Auf WhatsApp teilen
  • Bei der Untersuchung eines iPhones eines Mitarbeiters einer in Washington, DC ansässigen internationalen zivilgesellschaftlichen Organisation wurde eine aktiv ausgenutzte Schwachstelle entdeckt, über die die Pegasus-Spyware der NSO Group ausgeliefert wurde
  • Diese von Citizen Lab BLASTPASS genannte Exploit-Kette konnte iPhones mit dem aktuellen iOS 16.6 ohne Interaktion des Opfers kompromittieren
  • Angreifer versuchten eine Zero-Click-Infektion über iMessage, indem sie einen PassKit-Anhang mit einem bösartigen Bild sendeten; Citizen Lab kündigte eine weitere Analyse an
  • Citizen Lab teilte die Entdeckung umgehend mit Apple, und Apple vergab für die betroffenen Schwachstellen CVE-2023-41064 und CVE-2023-41061
  • Das Apple-Update gilt für iPhone, iPad, Mac und Apple Watch; Citizen Lab und das Team Apple Security Engineering and Architecture gehen davon aus, dass der Lockdown Mode diesen Angriff blockiert

BLASTPASS-Exploit-Kette

  • Citizen Lab entdeckte die Zero-Click-Schwachstelle bei der Untersuchung des Geräts eines Mitarbeiters einer zivilgesellschaftlichen Organisation mit Sitz in Washington, DC und internationalen Büros, während sie bereits real ausgenutzt wurde
  • Die Schwachstelle wurde verwendet, um die Pegasus-Söldnerspyware der NSO Group auszuliefern
  • Citizen Lab gab dieser Exploit-Kette den Namen BLASTPASS
  • BLASTPASS konnte iPhones mit dem aktuellen iOS 16.6 ohne Interaktion des Opfers kompromittieren
  • Der Angriff funktionierte, indem vom iMessage-Konto des Angreifers ein PassKit-Anhang an das Opfer gesendet wurde
    • Der Anhang enthielt ein bösartiges Bild
    • Zugehörige Dokumentation findet sich unter PassKit
  • Citizen Lab will zu einem späteren Zeitpunkt eine ausführlichere Diskussion der Exploit-Kette veröffentlichen

Apple-Offenlegung und CVE

  • Citizen Lab teilte die Entdeckung sofort mit Apple und unterstützte Apples Untersuchung
  • Apple vergab im Zusammenhang mit dieser Exploit-Kette zwei CVEs
    • CVE-2023-41064

      • CVE-2023-41061

Sofortiges Update und Lockdown Mode

  • Citizen Lab empfiehlt allen Nutzern, ihre Geräte unverzüglich zu aktualisieren
  • Apple hat Updates für seine Produkte veröffentlicht; betroffen sind iPhone, iPad, Mac und Apple Watch
  • Nutzern, die aufgrund ihrer Identität oder Tätigkeit einem höheren Risiko ausgesetzt sein könnten, wird empfohlen, den Lockdown Mode zu aktivieren
  • Citizen Lab und das Team Apple Security Engineering and Architecture gehen davon aus, dass der Lockdown Mode diesen konkreten Angriff blockiert
  • Citizen Lab bewertete Apples schnelle Reaktion bei der Untersuchung und im Patch-Zyklus positiv und würdigte die Kooperation und Unterstützung des Opfers sowie dessen Organisation

Sicherheitssignal durch die gezielte Angriffsfläche der Zivilgesellschaft

  • Diese Entdeckung zeigt erneut, dass die Zivilgesellschaft Ziel hochentwickelter Exploits und von Söldnerspyware ist
  • Das Apple-Update schützt Geräte von allgemeinen Nutzern, Unternehmen und Regierungen weltweit
  • Die Entdeckung von BLASTPASS unterstreicht, dass die Unterstützung zivilgesellschaftlicher Organisationen einen großen Wert für die kollektive Cybersicherheit hat

Update-Verlauf

  • Der Beitrag wurde am 7. September um 17:42 Uhr Ostküstenzeit aktualisiert
  • Das Update ergänzt, dass das Team Apple Security Engineering and Architecture und Citizen Lab davon ausgehen, dass der Lockdown Mode diesen konkreten Angriff blockiert

1 Kommentare

 
GN⁺ 2023-09-08
Meinungen auf Hacker News
  • Es wird viel über Apple und Software gesprochen, aber viel zu wenig darüber, warum die NSO Group überhaupt existieren kann.
    Sie agieren fast offen und scheinen sich nicht einmal dafür zu schämen. Sonst würden sie das wohl nicht in ihren Lebenslauf schreiben: https://www.linkedin.com/company/nso-group/people/
    Wenn man sich das ansieht, scheint die „Tech-Community“ den Einsatz solcher Technik allzu leicht zu akzeptieren. Eben jener Technik, von der wir glauben, dass sie „die Welt besser machen“ werde.

    • Die PBS-Doku über NSO und Pegasus ist gut: https://www.pbs.org/wgbh/frontline/documentary/global-spywar...
      NSO scheint von der israelischen Regierung unterstützt zu werden. Sie behaupten, nur an vorab geprüfte Regierungen zu verkaufen, in der Realität verkaufen sie aber oft an autoritäre Staaten, die Menschen überwachen und verfolgen, die sich gegen das Regime stellen.
    • NSO sagt, man nehme nur „Terroristen und Kriminelle“ ins Visier; als gesetzestreuer Bürger ohne etwas zu verbergen muss man sich also keine Sorgen machen, oder? Schließlich gibt es auf der Welt sicher keine Regime, unter denen schon investigative Berichterstattung oder Oppositionspolitik dazu führt, als Krimineller oder Terrorist verdächtigt zu werden.
    • Der Verkauf von Malware/Software-Waffen zwischen US-Unternehmen ist im Allgemeinen legal, mit der großen Ausnahme, dass sie, wenn sie unter ITAR-Regeln fallen, nur an die US-Regierung oder ITAR-zugelassene Anbieter verkauft werden dürfen, sofern sie nicht Open Source sind.
      Der Grund, warum NSO Group schlecht ist, liegt darin, dass sie an unterdrückerische Regime verkauft haben und im Verdacht stehen, diese Regime aktiv bei der Verbreitung der Software unterstützt zu haben, damit sie unschuldigen Zivilisten schaden konnten. Wegen dieses Handelns, dieser Absichten und des Versagens bei Kontrolle und Verantwortung sollten sie sanktioniert werden; meiner Erinnerung nach stehen sie bereits unter Sanktionen.
      Allerdings gibt es viele Ausnahmen, etwa wenn Verkäufer und Käufer in gutem Glauben handeln und die Nutzung nur gesetzeskonform geplant ist. Keine Rechtsberatung.
    • Ein erheblicher Teil solcher Dinge wird als Waffen eingestuft, daher ist es faktisch eher die israelische Regierung, die sie verkauft, als ein Unternehmen. Das ist nicht anders als bei MANPADS, die sowohl zum Abschuss von Ka-52 in der Ukraine als auch zum Abschuss ziviler Passagiermaschinen eingesetzt werden können; ihre Richtung wird von der Außenpolitik des Herstellerlands und deren Scheitern bestimmt.
      Es gibt keinen Grund zu erwarten, dass die Welt demnächst abrüstet. Das Beste ist also, sich dessen bewusst zu sein, demokratisch Einfluss auf die Politik zu nehmen und schlechte Ideen sowie schlechte Akteure auszusortieren.
      Israel versucht weiterhin, Saudi-Arabien einzubinden, um für einen möglichen Krieg mit Iran Verbündete zu schaffen. Um Überflugrechte durch den saudischen Luftraum zu bekommen, wird man sicher ein paar Menschenrechtsaktivisten opfern. Allerdings scheint es für Israel in letzter Zeit nicht besonders gut zu laufen.
    • Es entsteht der Eindruck, als werde die „Tech-Community“ als kohärente Gruppe gesehen, die über die organisatorische Kraft verfügt, sich in eine bestimmte Richtung zu bewegen.
      Tatsächlich ist die Tech-Community sehr vielfältig und überhaupt nicht kohärent. Viele Entwickler etwa kommen gerade so über die Runden und haben nicht einmal die mentale Bandbreite, um zu wissen, was NSO ist.
  • Interessant ist, wie stark betont wird, dass man Lockdown Mode nicht verwenden solle, wenn man nicht Journalist ist oder sich in direkter und offensichtlicher Gefahr befindet. Tatsächlich ist der Funktionsunterschied aus Nutzersicht nicht groß; im Wesentlichen werden einige unnötige Dinge von Apple abgeschaltet, die im Hintergrund laufen und die Angriffsfläche vergrößern.
    Trotzdem wiederholen alle diese Einschränkung im Sinne von „Das darf nicht jeder nutzen, nur besondere Personen“. Dabei ist es weder eine knappe Ressource noch ein Nullsummenspiel. Im Gegenteil: Wenn es alle nutzen würden, könnten viele Funktionen abgeschaltet werden, die den Nutzern keinen Vorteil bringen, der Akku würde geschont, und je verbreiteter die Nutzung ist, desto schwerer ließe sie sich zur Identifizierung bestimmter Nutzer verwenden.

    • iOS wird dadurch etwas unbequemer. Zum Beispiel, wenn man sich in iMessage gegenseitig hinzufügt, und auch die JavaScript-Performance in Safari sinkt deutlich.
      Apple will wohl vermeiden, dass iOS langsamer oder träger wirkt als Android. Außerdem zielt Zero-Day-Spyware normalerweise eher auf wichtige Personen als auf Massenüberwachung, daher ist das tatsächliche Risiko für Einzelpersonen eher gering.
      Ein Kompromissmodus zwischen den beiden Modi wäre schön: eine Möglichkeit, die Sicherheit für ein paar Minuten zu senken, wenn man eine bestimmte Funktion braucht. Wenn Safari etwa erkennt, dass JavaScript langsam ist, könnte es fragen, ob JIT wieder aktiviert werden soll.
    • Wenn Apple nicht gewollt hätte, dass Menschen Hintergrundfunktionen nutzen, hätten sie sie gar nicht erst eingebaut. Es ist nicht überraschend, dass Apple möchte, dass Nutzer die von Apple absichtlich eingebauten Funktionen verwenden, egal ob sie nun „nutzlos“ sind oder nicht.
    • Aus kapitalistischer Sicht könnten Neukunden, wenn Apple nicht stark darauf hinweist, auf Anraten besorgter Freunde oder Familienmitglieder Lockdown Mode standardmäßig aktivieren und sich dann bei Apple beschweren oder das Gerät zurückgeben, weil beworbene Funktionen nicht funktionieren.
      Aus realpolitischer Sicht ist es möglich, dass unterdrückerische Regime Apple erlaubt haben, Geräte mit dieser Funktion auszuliefern, aber unter der Bedingung, sie nicht aktiv zu bewerben oder zum Standard zu machen. Wenn Lockdown Mode in China standardmäßig aktiviert wäre und die Mehrheit ihn nutzen würde, wäre Apple sehr schnell aus China draußen.
    • Auf dem Mac nutze ich Lockdown Mode, weil ich iMessage, FaceTime und andere Apple-Dienste nicht verwende. Im Grunde ist es nur ein Computer für Softwareentwicklung und YouTube-Videos.
      Auch bei Webinhalten habe ich keinen Unterschied bemerkt, vielleicht weil ich statt Safari Firefox/Chrome nutze. Was ich wirklich will, sind Optionen. Unter iOS nutze ich zum Beispiel geteilte Fotoalben; es wäre schön, diese Funktion behalten und nur die übrigen abschalten zu können.
    • Wenn man Lockdown Mode aktiviert, wurden ziemlich viele Dinge seltsam.
      Zunächst scheint Continuity fast kaputtzugehen, und ich verlasse mich persönlich ziemlich darauf. AirPlay wird ebenfalls ziemlich launisch.
      Das könnte alles ein Netzwerkproblem gewesen sein, aber es trat erst auf, nachdem ich auf Lockdown Mode umgestellt hatte. Außerdem ist es ziemlich unpraktisch, dass Bildschirmzeit-Anfragen nicht funktionieren.
  • Wie viele Sicherheitslücken hatte iMessage bisher eigentlich?
    Ist es nicht an der Zeit, bei der ersten Nachricht von neuen Kontakten nur noch reinen Text zuzulassen und auch bei den übrigen Nachrichten statt eines verrückten Erweiterungssystems, das sich kaum von ActiveX unterscheidet, nur noch eine stark eingeschränkte Teilmenge zu erlauben?
    Dazu könnte man auch überlegen, die gesamte App in einer Sandbox laufen zu lassen und als zusätzliche Schutzschicht alles über WebViews zu verarbeiten.

    • Es gibt bereits einen Präzedenzfall, der nahtlos umgesetzt wurde. Der Apple-Mail-Client rendert Medien von unbekannten Absendern nicht ohne Bestätigung durch den Nutzer.
      iMessage sollte aus genau demselben Grund exakt dasselbe Verhalten haben. Es ist frustrierend zu sehen, wie gierige Produktmanager, die im selben Gebäude arbeiten, die Lektionen erneut lernen müssen, die frühere Generationen schmerzhaft gelernt haben.
    • Ich kann immer noch nicht glauben, dass so etwas immer wieder passiert. Wenn es „Zero Click“ heißt, weiß man, dass es sich um eine der komplexen Payloads wie Bilder oder Schriftarten handelt.
      Die Antwort sollte nicht lauten: „Lasst uns keine Bilder rendern.“ Man muss darauf vertrauen können, dass Komponenten, die externe Daten wie Bilder parsen, unabhängig von der Eingabe kein bösartiges Verhalten zeigen können.
      Wenn Sandboxing nötig ist, dann macht man das eben; wenn alle Bildparser von Grund auf in einer sicheren Sprache neu geschrieben oder formal auf Korrektheit bewiesen werden müssen, dann macht man das eben. Apple hat genug Geld, um sein eigenes Raumfahrtprogramm zehnmal zu betreiben, also könnten sie auch eine nachweisbar sichere Bildbibliothek bauen.
    • Das unterscheidet sich sehr von ActiveX. Für ActiveX kursierten in den dunklen Ecken des Usenet frei Hunderte Exploits, und typische Scriptkiddies aus dem Keller nutzten sie gegen Computer auf der ganzen Welt aus.
      Bei iMessage gab es eine kleine Zahl von Exploits, die von Firmen wie NSO zu extrem hohen Preisen an eine winzige Zahl übler staatlicher Akteure lizenziert und für hochriskante gezielte Angriffe genutzt werden.
    • Jeder Prozess unter iOS läuft in einer Sandbox. Deshalb ist es so schwierig, solche Exploits zu bauen.
    • Ich habe mich gefragt, ob man iMessage auf dem iPhone tatsächlich abschalten kann. Ich nutze inzwischen nur noch WhatsApp und habe kein Interesse an aufgebohrtem SMS.
      Gefunden. Für alle, die es interessiert: Auf dem iPhone in die Einstellungen gehen, „Nachrichten“ antippen und iMessage auf „Aus“ stellen.
  • Schon wieder ein Buffer Overflow beim Bild-Decoding – klingt ähnlich wie die Sicherheitslücke von 2021 [1].
    Die war wirklich heftig. Aus den primitiven Operationen, die ein obskures in ein PDF eingebettetes Bildkompressionsformat bereitstellte, wurde eine CPU gebaut, um genug arithmetische Operationen auszuführen, um bis zur Ausführung beliebigen Codes weiter zu eskalieren.
    [1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...

    • Das erinnert mich auch an den TIF-Rendering-Bug in iOS 4, den früher jailbreakme.com nutzte. Es war schon cool, in Safari einen Button zu drücken, woraufhin der iPod touch neu startete und Cydia installiert war.
    • Dadurch habe ich mehr Verständnis dafür, dass Chrome JPEG-XL noch nicht übernimmt.
      Nicht falsch verstehen: Ich halte JPEG-XL für eine gute Idee, aber für Leute, die sagen „Was soll schon schaden, noch ein weiteres Bildformat zu unterstützen?“, ist das hier die Antwort.
    • Wieder ein Buffer Overflow beim Bild-Decoding. Man könnte meinen, Apple würde das Threat Modeling machen und Fuzzing bis zum Ende durchziehen, aber falsch gedacht. Ein Unternehmen mit 2,7 Billionen Dollar Marktkapitalisierung bekommt das nicht hin.
    • Vielleicht eine dumme Frage, aber warum sind die notorisch riskanten Mediendecoder nicht ordentlich sandboxed?
    • Ich kenne mich mit Security nicht besonders gut aus, aber das werde ich wohl nie vergessen. Faszinierend.
  • Dieser Fix ist heute erschienen und scheint zeitlich mit der Veröffentlichung abgestimmt zu sein; man sollte also prüfen, ob die eigenen Geräte und die der Leute im Umfeld aktualisiert sind.
    https://support.apple.com/en-us/HT201222

    • Interessanterweise wird nichts wie eine Kernel-Schwachstelle erwähnt.
      Soweit ich weiß, sollte der gesamte Parsing-Code von iMessage innerhalb der BlastDoor-Sandbox laufen; gibt es hier also eine weitere nicht veröffentlichte Chain-Schwachstelle?
    • Ich frage mich, warum es noch keinen Fix für iOS 15 gibt. Ist iOS 15 für diesen Angriff nicht anfällig? Oder kommen Backports von Sicherheitsfixes öfter verzögert, ohne dass ich das weiß? Falls ja, sollte man Workarounds anwenden, um solche Exploits zu verhindern?
  • Die Aufnahme der NSO Group in die Blacklist des Handelsministeriums war offensichtlich nicht genug. Dieser Abschaum gehört zumindest im übertragenen Sinn nach Den Haag.

  • Wer sich für NSO Group, Pegasus und Citizen Lab interessiert: Folge 100 des Podcasts Darknet Diaries bietet eine gute historische Einordnung.

  • Wir brauchen einen feiner abgestuften Lockdown Mode. Zum Beispiel so, dass Automatisierung und riskante Funktionen in iMessage und Safari abgeschaltet werden, Geräte-Zubehör aber weiter funktioniert.
    Es ist nicht schön, auch noch Bluetooth-Zubehör zu verlieren, nur um sich vor iMessage-Zero-Click-Exploits zu schützen. iMessage ist die mit Abstand offenste Angriffsfläche.

    • iMessage ist auch ein großer Teil von Apples Burggraben. Es ist unwahrscheinlich, dass Apple eine alternative SMS-App mit grünen Sprechblasen zulässt, die womöglich sicherer wäre.
    • In den Einstellungen gibt es bereits Optionen, mit denen man den „Lockdown Mode anpassen“ kann.
      Zum Beispiel ist Einstellungen > Nachrichten > iMessage ein Schalter, den man ausschalten kann, wenn man iMessage für das Problem hält.
      Unter Einstellungen > Safari > Datenschutz & Sicherheit gibt es außerdem mehrere Optionen, mit denen man Safari feiner absichern kann.
  • Ich frage mich, ob der Lockdown Mode diesen Angriff verhindert hätte.
    Wurde bislang schon einmal ein iPhone im Lockdown Mode über eine Zero-Day-Schwachstelle gehackt? Fälle ausgenommen, in denen Nutzer dazu verleitet wurden, Schadsoftware zu installieren.

  • Zugehöriger laufender Thread:
    iOS 16.6.1 behebt zwei Schwachstellen, die bekanntermaßen aktiv in freier Wildbahn ausgenutzt werden - https://news.ycombinator.com/item?id=37423506 - September 2023, 7 Kommentare