Google Project Zero ekibi, NSO Group’un iMessage aracılığıyla Pegasus casus yazılımıyla hedef iPhone’lara bulaşmak için kullandığı FORCEDENTRY açığının teknik bir analizini yayınladı[1].
Citizen Lab, FORCEDENTRY açığını bir Suudi aktivistin iPhone’unda mart ayında ortaya çıkardı ve eylül ayında yayınladı[2]. Apple da bu açıklamadan 10 gün sonra iOS, MacOS ve watchOS için yamalar yayınladı.
Şimdi Google Project Zero ekibi, Citizen Lab ve Apple’ın Güvenlik Mühendisliği ve Mimarisi (SEAR) grubunun yardımıyla teknik bir analiz yayınladı :
“Araştırmamıza ve bulgularımıza dayanarak, şimdiye kadar gördüğümüz teknik olarak en karmaşık istismarlardan biri olduğunu düşünüyoruz ve ayrıca NSO’nun daha önce yalnızca birkaç ülkenin sahip olduğu düşünülen yeteneklere sahip olduğunu değerlendiriyoruz.”
Ortaya çıkan analiz, iMessage’ın GIF’ler için yerleşik desteğinden (Project Zero’nun “meme kültüründe popüler olan tipik olarak küçük ve düşük kaliteli animasyonlu görüntüler” olarak tanımladığı) nispeten eski JBIG2 görüntü codec bileşenini destekleyen bir PDF ayrıştırıcısına kadar her şeyi kapsıyor.
GIF’ler, PDF’ler ve JBIG2’nin iMessage aracılığıyla bir telefonu tehlikeye atmakla ne ilgisi var? Project Zero, NSO Group’un aşağıdakileri elde etmek için JBIG2’yi kullanmanın bir yolunu bulduğunu açıklıyor:
“JBIG2’nin komut dosyası oluşturma yetenekleri yoktur, ancak bir güvenlik açığı ile birleştirildiğinde, isteğe bağlı bellek üzerinde çalışan isteğe bağlı mantık kapılarının devrelerini taklit etme yeteneğine sahiptir. Öyleyse neden bunu sadece kendi bilgisayar mimarinizi oluşturmak ve komut dosyası oluşturmak için kullanmıyorsunuz?
Bu istismarın yaptığı tam olarak budur.Mantıksal bit işlemlerini tanımlayan 70.000’den fazla segment komutu kullanarak, bellek aramak ve aritmetik işlemleri gerçekleştirmek için kullandıkları yazmaçlar ve tam 64-bit toplayıcı ve karşılaştırıcı gibi özelliklere sahip küçük bir bilgisayar mimarisi tanımlarlar. Javascript kadar hızlı değil ancak temelde hesaplama açısından eşdeğer.”
Tüm bunlar, NSO Group’un siyah beyaz PDF’leri sıkıştırmak için yapılmış bir görüntü codec bileşeni kullandığını, böylece web uygulamalarının bir hedefin iPhone’unda çalışmasına izin veren programlama diline “temel olarak hesaplama açısından eşdeğer” bir şey elde edebileceğini söylüyor.
[1] A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution
[2] FORCEDENTRY – NSO Group iMessage Zero-Click Exploit Captured in the Wild
[3] About the security content of Security Update 2021-006 Catalina