- Bei der Untersuchung eines iPhones eines Mitarbeiters einer in Washington, DC ansässigen internationalen zivilgesellschaftlichen Organisation wurde eine aktiv ausgenutzte Schwachstelle entdeckt, über die die Pegasus-Spyware der NSO Group ausgeliefert wurde
- Diese von Citizen Lab BLASTPASS genannte Exploit-Kette konnte iPhones mit dem aktuellen iOS 16.6 ohne Interaktion des Opfers kompromittieren
- Angreifer versuchten eine Zero-Click-Infektion über iMessage, indem sie einen PassKit-Anhang mit einem bösartigen Bild sendeten; Citizen Lab kündigte eine weitere Analyse an
- Citizen Lab teilte die Entdeckung umgehend mit Apple, und Apple vergab für die betroffenen Schwachstellen CVE-2023-41064 und CVE-2023-41061
- Das Apple-Update gilt für iPhone, iPad, Mac und Apple Watch; Citizen Lab und das Team Apple Security Engineering and Architecture gehen davon aus, dass der Lockdown Mode diesen Angriff blockiert
BLASTPASS-Exploit-Kette
- Citizen Lab entdeckte die Zero-Click-Schwachstelle bei der Untersuchung des Geräts eines Mitarbeiters einer zivilgesellschaftlichen Organisation mit Sitz in Washington, DC und internationalen Büros, während sie bereits real ausgenutzt wurde
- Die Schwachstelle wurde verwendet, um die Pegasus-Söldnerspyware der NSO Group auszuliefern
- Citizen Lab gab dieser Exploit-Kette den Namen BLASTPASS
- BLASTPASS konnte iPhones mit dem aktuellen iOS 16.6 ohne Interaktion des Opfers kompromittieren
- Der Angriff funktionierte, indem vom iMessage-Konto des Angreifers ein PassKit-Anhang an das Opfer gesendet wurde
- Der Anhang enthielt ein bösartiges Bild
- Zugehörige Dokumentation findet sich unter PassKit
- Citizen Lab will zu einem späteren Zeitpunkt eine ausführlichere Diskussion der Exploit-Kette veröffentlichen
Apple-Offenlegung und CVE
- Citizen Lab teilte die Entdeckung sofort mit Apple und unterstützte Apples Untersuchung
- Apple vergab im Zusammenhang mit dieser Exploit-Kette zwei CVEs
-
CVE-2023-41064
- CVE-2023-41061
-
Sofortiges Update und Lockdown Mode
- Citizen Lab empfiehlt allen Nutzern, ihre Geräte unverzüglich zu aktualisieren
- Apple hat Updates für seine Produkte veröffentlicht; betroffen sind iPhone, iPad, Mac und Apple Watch
- Nutzern, die aufgrund ihrer Identität oder Tätigkeit einem höheren Risiko ausgesetzt sein könnten, wird empfohlen, den Lockdown Mode zu aktivieren
- Citizen Lab und das Team Apple Security Engineering and Architecture gehen davon aus, dass der Lockdown Mode diesen konkreten Angriff blockiert
- Citizen Lab bewertete Apples schnelle Reaktion bei der Untersuchung und im Patch-Zyklus positiv und würdigte die Kooperation und Unterstützung des Opfers sowie dessen Organisation
Sicherheitssignal durch die gezielte Angriffsfläche der Zivilgesellschaft
- Diese Entdeckung zeigt erneut, dass die Zivilgesellschaft Ziel hochentwickelter Exploits und von Söldnerspyware ist
- Das Apple-Update schützt Geräte von allgemeinen Nutzern, Unternehmen und Regierungen weltweit
- Die Entdeckung von BLASTPASS unterstreicht, dass die Unterstützung zivilgesellschaftlicher Organisationen einen großen Wert für die kollektive Cybersicherheit hat
Update-Verlauf
- Der Beitrag wurde am 7. September um 17:42 Uhr Ostküstenzeit aktualisiert
- Das Update ergänzt, dass das Team Apple Security Engineering and Architecture und Citizen Lab davon ausgehen, dass der Lockdown Mode diesen konkreten Angriff blockiert
1 Kommentare
Meinungen auf Hacker News
Es wird viel über Apple und Software gesprochen, aber viel zu wenig darüber, warum die NSO Group überhaupt existieren kann.
Sie agieren fast offen und scheinen sich nicht einmal dafür zu schämen. Sonst würden sie das wohl nicht in ihren Lebenslauf schreiben: https://www.linkedin.com/company/nso-group/people/
Wenn man sich das ansieht, scheint die „Tech-Community“ den Einsatz solcher Technik allzu leicht zu akzeptieren. Eben jener Technik, von der wir glauben, dass sie „die Welt besser machen“ werde.
NSO scheint von der israelischen Regierung unterstützt zu werden. Sie behaupten, nur an vorab geprüfte Regierungen zu verkaufen, in der Realität verkaufen sie aber oft an autoritäre Staaten, die Menschen überwachen und verfolgen, die sich gegen das Regime stellen.
Der Grund, warum NSO Group schlecht ist, liegt darin, dass sie an unterdrückerische Regime verkauft haben und im Verdacht stehen, diese Regime aktiv bei der Verbreitung der Software unterstützt zu haben, damit sie unschuldigen Zivilisten schaden konnten. Wegen dieses Handelns, dieser Absichten und des Versagens bei Kontrolle und Verantwortung sollten sie sanktioniert werden; meiner Erinnerung nach stehen sie bereits unter Sanktionen.
Allerdings gibt es viele Ausnahmen, etwa wenn Verkäufer und Käufer in gutem Glauben handeln und die Nutzung nur gesetzeskonform geplant ist. Keine Rechtsberatung.
Es gibt keinen Grund zu erwarten, dass die Welt demnächst abrüstet. Das Beste ist also, sich dessen bewusst zu sein, demokratisch Einfluss auf die Politik zu nehmen und schlechte Ideen sowie schlechte Akteure auszusortieren.
Israel versucht weiterhin, Saudi-Arabien einzubinden, um für einen möglichen Krieg mit Iran Verbündete zu schaffen. Um Überflugrechte durch den saudischen Luftraum zu bekommen, wird man sicher ein paar Menschenrechtsaktivisten opfern. Allerdings scheint es für Israel in letzter Zeit nicht besonders gut zu laufen.
Tatsächlich ist die Tech-Community sehr vielfältig und überhaupt nicht kohärent. Viele Entwickler etwa kommen gerade so über die Runden und haben nicht einmal die mentale Bandbreite, um zu wissen, was NSO ist.
Interessant ist, wie stark betont wird, dass man Lockdown Mode nicht verwenden solle, wenn man nicht Journalist ist oder sich in direkter und offensichtlicher Gefahr befindet. Tatsächlich ist der Funktionsunterschied aus Nutzersicht nicht groß; im Wesentlichen werden einige unnötige Dinge von Apple abgeschaltet, die im Hintergrund laufen und die Angriffsfläche vergrößern.
Trotzdem wiederholen alle diese Einschränkung im Sinne von „Das darf nicht jeder nutzen, nur besondere Personen“. Dabei ist es weder eine knappe Ressource noch ein Nullsummenspiel. Im Gegenteil: Wenn es alle nutzen würden, könnten viele Funktionen abgeschaltet werden, die den Nutzern keinen Vorteil bringen, der Akku würde geschont, und je verbreiteter die Nutzung ist, desto schwerer ließe sie sich zur Identifizierung bestimmter Nutzer verwenden.
Apple will wohl vermeiden, dass iOS langsamer oder träger wirkt als Android. Außerdem zielt Zero-Day-Spyware normalerweise eher auf wichtige Personen als auf Massenüberwachung, daher ist das tatsächliche Risiko für Einzelpersonen eher gering.
Ein Kompromissmodus zwischen den beiden Modi wäre schön: eine Möglichkeit, die Sicherheit für ein paar Minuten zu senken, wenn man eine bestimmte Funktion braucht. Wenn Safari etwa erkennt, dass JavaScript langsam ist, könnte es fragen, ob JIT wieder aktiviert werden soll.
Aus realpolitischer Sicht ist es möglich, dass unterdrückerische Regime Apple erlaubt haben, Geräte mit dieser Funktion auszuliefern, aber unter der Bedingung, sie nicht aktiv zu bewerben oder zum Standard zu machen. Wenn Lockdown Mode in China standardmäßig aktiviert wäre und die Mehrheit ihn nutzen würde, wäre Apple sehr schnell aus China draußen.
Auch bei Webinhalten habe ich keinen Unterschied bemerkt, vielleicht weil ich statt Safari Firefox/Chrome nutze. Was ich wirklich will, sind Optionen. Unter iOS nutze ich zum Beispiel geteilte Fotoalben; es wäre schön, diese Funktion behalten und nur die übrigen abschalten zu können.
Zunächst scheint Continuity fast kaputtzugehen, und ich verlasse mich persönlich ziemlich darauf. AirPlay wird ebenfalls ziemlich launisch.
Das könnte alles ein Netzwerkproblem gewesen sein, aber es trat erst auf, nachdem ich auf Lockdown Mode umgestellt hatte. Außerdem ist es ziemlich unpraktisch, dass Bildschirmzeit-Anfragen nicht funktionieren.
Wie viele Sicherheitslücken hatte iMessage bisher eigentlich?
Ist es nicht an der Zeit, bei der ersten Nachricht von neuen Kontakten nur noch reinen Text zuzulassen und auch bei den übrigen Nachrichten statt eines verrückten Erweiterungssystems, das sich kaum von ActiveX unterscheidet, nur noch eine stark eingeschränkte Teilmenge zu erlauben?
Dazu könnte man auch überlegen, die gesamte App in einer Sandbox laufen zu lassen und als zusätzliche Schutzschicht alles über WebViews zu verarbeiten.
iMessage sollte aus genau demselben Grund exakt dasselbe Verhalten haben. Es ist frustrierend zu sehen, wie gierige Produktmanager, die im selben Gebäude arbeiten, die Lektionen erneut lernen müssen, die frühere Generationen schmerzhaft gelernt haben.
Die Antwort sollte nicht lauten: „Lasst uns keine Bilder rendern.“ Man muss darauf vertrauen können, dass Komponenten, die externe Daten wie Bilder parsen, unabhängig von der Eingabe kein bösartiges Verhalten zeigen können.
Wenn Sandboxing nötig ist, dann macht man das eben; wenn alle Bildparser von Grund auf in einer sicheren Sprache neu geschrieben oder formal auf Korrektheit bewiesen werden müssen, dann macht man das eben. Apple hat genug Geld, um sein eigenes Raumfahrtprogramm zehnmal zu betreiben, also könnten sie auch eine nachweisbar sichere Bildbibliothek bauen.
Bei iMessage gab es eine kleine Zahl von Exploits, die von Firmen wie NSO zu extrem hohen Preisen an eine winzige Zahl übler staatlicher Akteure lizenziert und für hochriskante gezielte Angriffe genutzt werden.
Gefunden. Für alle, die es interessiert: Auf dem iPhone in die Einstellungen gehen, „Nachrichten“ antippen und iMessage auf „Aus“ stellen.
Schon wieder ein Buffer Overflow beim Bild-Decoding – klingt ähnlich wie die Sicherheitslücke von 2021 [1].
Die war wirklich heftig. Aus den primitiven Operationen, die ein obskures in ein PDF eingebettetes Bildkompressionsformat bereitstellte, wurde eine CPU gebaut, um genug arithmetische Operationen auszuführen, um bis zur Ausführung beliebigen Codes weiter zu eskalieren.
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
Nicht falsch verstehen: Ich halte JPEG-XL für eine gute Idee, aber für Leute, die sagen „Was soll schon schaden, noch ein weiteres Bildformat zu unterstützen?“, ist das hier die Antwort.
Dieser Fix ist heute erschienen und scheint zeitlich mit der Veröffentlichung abgestimmt zu sein; man sollte also prüfen, ob die eigenen Geräte und die der Leute im Umfeld aktualisiert sind.
https://support.apple.com/en-us/HT201222
Soweit ich weiß, sollte der gesamte Parsing-Code von iMessage innerhalb der BlastDoor-Sandbox laufen; gibt es hier also eine weitere nicht veröffentlichte Chain-Schwachstelle?
Die Aufnahme der NSO Group in die Blacklist des Handelsministeriums war offensichtlich nicht genug. Dieser Abschaum gehört zumindest im übertragenen Sinn nach Den Haag.
Wer sich für NSO Group, Pegasus und Citizen Lab interessiert: Folge 100 des Podcasts Darknet Diaries bietet eine gute historische Einordnung.
Link für Interessierte: https://darknetdiaries.com/episode/100/
Wir brauchen einen feiner abgestuften Lockdown Mode. Zum Beispiel so, dass Automatisierung und riskante Funktionen in iMessage und Safari abgeschaltet werden, Geräte-Zubehör aber weiter funktioniert.
Es ist nicht schön, auch noch Bluetooth-Zubehör zu verlieren, nur um sich vor iMessage-Zero-Click-Exploits zu schützen. iMessage ist die mit Abstand offenste Angriffsfläche.
Zum Beispiel ist Einstellungen > Nachrichten > iMessage ein Schalter, den man ausschalten kann, wenn man iMessage für das Problem hält.
Unter Einstellungen > Safari > Datenschutz & Sicherheit gibt es außerdem mehrere Optionen, mit denen man Safari feiner absichern kann.
Ich frage mich, ob der Lockdown Mode diesen Angriff verhindert hätte.
Wurde bislang schon einmal ein iPhone im Lockdown Mode über eine Zero-Day-Schwachstelle gehackt? Fälle ausgenommen, in denen Nutzer dazu verleitet wurden, Schadsoftware zu installieren.
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
CL-Link: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
Zugehöriger laufender Thread:
iOS 16.6.1 behebt zwei Schwachstellen, die bekanntermaßen aktiv in freier Wildbahn ausgenutzt werden - https://news.ycombinator.com/item?id=37423506 - September 2023, 7 Kommentare