Von einem ägyptischen kommerziellen Überwachungsanbieter genutzte 0-Day-Schwachstellen

 (blog.google)
1 Punkte von GN⁺ 2023-09-23 | 1 Kommentare | Auf WhatsApp teilen
  • Googles Threat Analysis Group (TAG) und The Citizen Lab haben eine 0-Day-Angriffskette für iPhones entdeckt, die vom kommerziellen Überwachungsanbieter Intellexa entwickelt wurde.
  • Diese Angriffskette wird verwendet, um ohne Wissen der Nutzer:innen die Predator-Spyware von Intellexa auf Geräten zu installieren.
  • Apple hat die Fehler in iOS 16.7 und iOS 17.0.1 unter den Kennungen CVE-2023-41991, CVE-2023-41992 und CVE-2023-41993 behoben und empfiehlt allen iOS-Nutzer:innen, diese Patches so schnell wie möglich zu installieren.
  • Die Angriffskette wurde über einen "Man-in-the-Middle-Angriff" (MITM) ausgeliefert, bei dem Angreifer den Web-Traffic des Ziels abfangen und auf andere Websites umleiten.
  • Die Angriffskette für iOS umfasst drei Schwachstellen: anfängliche Remote Code Execution in Safari, PAC-Umgehung und lokale Privilegieneskalation im XNU-Kernel.
  • Die Angreifer verfügten außerdem über eine Angriffskette, um Predator auf Android-Geräten in Ägypten zu installieren, und zwar sowohl über MITM-Injektion als auch über Einweg-Links, die direkt an die Ziele gesendet wurden.
  • Chrome arbeitet als Schutz vor MITM-Angriffen an einer flächendeckenden Einführung von HTTPS im Web und verfügt mit dem "HTTPS-First Mode" über einen Modus, der versucht, alle Seiten per HTTPS zu laden.
  • Diese Kampagne ist ein Beispiel für die Gefahren durch kommerzielle Überwachungsanbieter und ihre Auswirkungen auf die Sicherheit von Nutzer:innen im Internet.
  • TAG plant, weiterhin Maßnahmen gegen die kommerzielle Spyware-Industrie zu ergreifen, Forschung dazu zu veröffentlichen und zur Förderung dieser Arbeit mit dem öffentlichen und privaten Sektor zusammenzuarbeiten.
  • The Citizen Lab wurde für die Zusammenarbeit und Partnerschaft bei der Erkennung und Analyse dieser Angriffe gewürdigt, und Apple wurde dafür gedankt, zeitnah Patches zum Schutz der Sicherheit von Nutzer:innen im Internet bereitzustellen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-23
Hacker-News-Kommentare
  • Ein Artikel über das Problem, dass ein ägyptisches kommerzielles Überwachungsunternehmen 0-Day-Schwachstellen ausnutzt.
  • Es werden Fragen zur Natur des Sandbox-Escapes auf Android aufgeworfen, und es gibt Bedenken hinsichtlich des Patches von Chrome.
  • Eine gezielte Kampagne, die das Abfangen von HTTP und Einmal-Links einschloss, war der Angriffsweg, doch es gibt die Sorge, dass dies auch breit eingesetzt werden könnte, um über Werbekampagnen oder Spam ein Botnet aufzubauen oder Nutzerzugangsdaten zu stehlen.
  • Der Angriff schleust die initiale Payload über HTTP ein, aber es wird die Vermutung geäußert, dass staatlich unterstützte Angreifer potenziell die Kontrolle über CA- oder CDN-Infrastruktur übernehmen könnten.
  • Es wird die Frage gestellt, warum Technologiegiganten wie Google und Apple nicht Mitarbeiter von Spyware-Firmen und 0-Day-Unternehmen einstellen, um solche Schwachstellen aufzuspüren.
  • Es besteht der Verdacht, dass diese Schwachstelle von ägyptischen Behörden genutzt wurde, um das Telefon des Präsidentschaftskandidaten Ahmed El Tantawy zu hacken.
  • Einige Nutzer ergreifen Maßnahmen zum Selbstschutz, etwa das Installieren von Updates und die Nutzung des HTTPS-Only-Modus.
  • Es gibt Spekulationen, dass Google möglicherweise die von dem Unternehmen verwendeten Domains offengelegt hat, was zu Selbstjustiz führen könnte.
  • Es wird erwähnt, dass der Lockdown-Modus von iOS diese Angriffskette blockiert hat.
  • Es wird die Frage aufgeworfen, ob dieser Angriff weiterhin funktionieren würde, wenn JavaScript standardmäßig deaktiviert wäre.