O fornecedor israelense de spyware NSO Group realizou ao menos três explorações de vulnerabilidade de clique zero no iOS, que eram desconhecidas em 2022, de acordo com um novo relatório do Citizen Lab. A exploração de clique zero não precisa que a vítima abra um arquivo ou tente acessar algum link, mas que ela apenas esteja usando um sistema operacional ou aplicativo vulnerável.
Embora a Apple tenha tomado medidas para evitar ataques contra seus clientes, os desenvolvedores de exploração da NSO continuam encontrando maneiras de contornar as mitigações.
O Citizen Lab, um grupo da Universidade de Toronto que se concentra em direitos humanos e pesquisa de segurança, descobriu as novas explorações do iOS enquanto investigava infecções por malware nos iPhones de defensores dos direitos humanos no México.
Uma das novas explorações de clique zero descobertas pelo grupo foi chamada de PwnYourHome. Essa exploração em duas etapas tem como alvo o HomeKit e o iMessage e foi usada contra dispositivos iOS 15 e 16 a partir de outubro de 2022. Outra exploração de duas etapas, que visa o recurso Find My e o iMessage, foi apelidada de FindMyPwn. Essa exploração de clique zero foi usada contra iPhones com iOS 15 desde ao menos junho de 2022. A terceira, chamada LatentImage, foi vista em apenas um dispositivo e parece ser o primeiro novo exploit usado pelo NSO em 2022. As explorações FindMyPwn e PwnYourHome foram usadas como dia zero.
A Apple foi informada sobre as descobertas em outubro de 2022 e janeiro de 2023. Uma das vulnerabilidades identificadas nesses ataques é o CVE-2023-23529, que a Apple corrigiu em fevereiro. Não está claro quais outros identificadores CVE foram atribuídos às falhas associadas a essas explorações. A gigante da tecnologia corrigiu cerca de uma dúzia de dias zero do iOS no ano passado e enviou notificações para usuários-alvo em novembro e dezembro, bem como em março deste ano.
Veja isso
QuaDream, rival do Pegasus, é usado para hackear iPhones
Spyware Pegasus espionou diplomatas da Finlândia
O NSO Group pode ter melhorado suas explorações desde então, mas o Citizen Lab não viu o exploit PwnYourHome funcionar contra dispositivos que tinham o recurso Lockdown Mode da Apple ativado. O grupo descobriu as novas explorações depois de encontrar indicadores de comprometimento associados a ataques do Pegasus, mas a organização decidiu não divulgar esses indicadores, pois o NSO Group pode aproveitar as informações para garantir que ataques futuros não sejam detectados.
O Citizen Lab e a Microsoft detalharam recentemente o malware iOS desenvolvido por um fornecedor de spyware baseado em Israel chamado QuaDream. A empresa, descrita como concorrente da NSO, está fechando as portas, em parte devido a essas revelações.