Yasal belgeler piyasaya sürülmüş Meta’nın WhatsApp’ı ile NSO Grubu arasında devam eden hukuki mücadelenin bir parçası olarak, İsrailli casus yazılım satıcısının, Pegasus’u sunmak için mesajlaşma uygulamasını hedef alan birden fazla açıktan yararlandığını ortaya çıkardı; bunlardan biri Meta tarafından dava edildikten sonra bile gerçekleşti.
Ayrıca, WhatsApp tehdide karşı koymak için yeni savunmalar oluştururken, NSO Group’un hedefin cihazlarına istilacı gözetleme aracını kurmanın yollarını defalarca bulduğunu da gösteriyorlar.
Mayıs 2019’da WhatsApp, Pegasus kötü amaçlı yazılımını gizlice yaymak için görüntülü arama sistemini kullanan karmaşık bir siber saldırıyı engellediğini söyledi. Saldırı, sesli arama işlevinde kritik bir arabellek taşması hatası olan CVE-2019-3568 (CVSS puanı: 9,8) olarak takip edilen sıfır gün kusurundan yararlandı.
Belgeler artık NSO Group’un “Pegasus’u kurmak için WhatsApp sunucularını da kullanan başka bir kurulum vektörü (Erised olarak bilinir) geliştirdiğini” gösteriyor. Mağdurun herhangi bir etkileşimi olmadan kurbanın telefonunu tehlikeye atabilecek sıfır tıklamalı bir istismar olan saldırı vektörü, Mayıs 2020’den bir süre sonra etkisiz hale getirildi; bu, WhatsApp’ın Ekim 2019’da kendisine karşı dava açmasından sonra bile kullanıldığına işaret ediyor.
Erised’in, NSO Grubu’nun WhatsApp’ı bir kanal olarak kullanarak Pegasus’u kurmak için tasarladığı, Cennet ve Eden olarak takip edilenler de dahil olmak üzere, CVE’nin kod adı olan, topluca Hummingbird olarak adlandırılan çok sayıda kötü amaçlı yazılım vektöründen biri olduğuna inanılıyor. -2019-3568 ve yaklaşık 1.400 cihazı hedeflemek için kullanıldı.
“[NSO Group has] Bu açıkları, WhatsApp’ın kodunu çıkarıp kaynak koda dönüştürerek, WhatsApp’a tersine mühendislik uygulayarak ve hatalı biçimlendirilmiş mesajlar (meşru bir WhatsApp istemcisinin gönderemeyeceği) göndermek için kendi ‘WhatsApp Kurulum Sunucusunu’ (veya ‘WIS’) tasarlayıp kullanarak geliştirdiklerini itiraf etti. Mühürsüz mahkeme belgelerine göre, WhatsApp sunucuları ve dolayısıyla hedef cihazların Pegasus casus yazılım aracısını yüklemesine neden oluyor; bu da federal ve eyalet yasalarını ve WhatsApp Hizmet Koşullarının sade dilini ihlal ediyor.
Heaven özellikle, istemcinin (yani yüklü uygulamanın) kimliğini doğrulamak için kullanılan WhatsApp’ın sinyal sunucularını, hedef cihazları NSO Grubu tarafından kontrol edilen bir üçüncü taraf aktarma sunucusuna yönlendirmeye zorlamak için manipüle edilmiş mesajlar kullandı.
WhatsApp tarafından 2018’in sonuna kadar yapılan sunucu tarafı güvenlik güncellemelerinin, şirketi Şubat 2019’a kadar NSO Group’un kendi aktarma sunucusuna olan ihtiyacı WhatsApp tarafından işletilen aktarmalar lehine ortadan kaldıran Eden adlı yeni bir istismar geliştirmeye teşvik ettiği söyleniyor.
Belgelerden birine göre “NSO, 10 Mayıs 2020’den sonra WhatsApp tabanlı Kötü Amaçlı Yazılım Vektörleri geliştirip geliştirmediğini belirtmeyi reddetti.” “NSO ayrıca kötü amaçlı yazılım vektörlerinin Pegasus’u ‘yüzler ila onbinlerce’ cihaza başarıyla yüklemek için kullanıldığını da kabul ediyor.”
Ayrıca başvurular, Pegasus’un WhatsApp kullanılarak bir hedefin cihazına nasıl kurulduğuna ve İsrailli şirketin önceki iddialarıyla çelişen şekilde casus yazılımı çalıştıranın müşteri değil de NSO Grubu olduğuna dair perde arkası bir bakış sunuyor.
Belgelerde “NSO müşterilerinin rolünün asgari düzeyde olduğu” belirtiliyor. “Müşterinin yalnızca hedef cihazın numarasını girmesi ve ‘Yükle’ye basması yeterliydi; Pegasus herhangi bir etkileşime gerek kalmadan aracıyı cihaza uzaktan yükleyecek.’ Başka bir deyişle, müşteri sadece hedef cihazın verileri için sipariş veriyor ve NSO, Pegasus tasarımı aracılığıyla veri alma ve dağıtım sürecinin her yönünü kontrol ediyor.”
NSO Group, ürününün ciddi suç ve terörle mücadelede kullanılması gerektiğini defalarca savundu. Ayrıca müşterilerinin sistemi yönetmekten sorumlu olduğu ve kendisi tarafından toplanan istihbarata erişime sahip olduğu konusunda ısrar etti.
Eylül 2024’te Apple, kritik “tehdit istihbaratı” bilgilerinin açığa çıkmasına yol açabilecek değişen risk ortamını ve “hayati güvenlik bilgilerini açığa çıkarma potansiyeline sahip olduğunu” öne sürerek NSO Group’a karşı açtığı davanın “gönüllü olarak” reddedilmesi yönünde bir dilekçe sunmuştu. risk.”
Aradan geçen yıllarda, iPhone üreticisi, paralı casus yazılım saldırılarını gerçekleştirmeyi zorlaştırmak için sürekli olarak yeni güvenlik özellikleri ekledi. İki yıl önce, FaceTime ve Mesajlar gibi çeşitli uygulamalardaki işlevselliği azaltarak ve yapılandırma profillerini engelleyerek cihaz savunmasını güçlendirmenin bir yolu olarak Kilitleme Modu’nu tanıttı.
Daha sonra bu haftanın başlarında, iOS 18.2’nin beta sürümlerinde, 72 saat boyunca kilidi açılmaması durumunda telefonu otomatik olarak yeniden başlatan ve şüphelilerin telefonlarına erişimi olabilecek kolluk kuvvetleri de dahil olmak üzere kullanıcıların yeniden başlatmasını gerektiren yeni bir güvenlik mekanizmasının ortaya çıktığına dair raporlar ortaya çıktı. cihaza erişmek için şifreyi girin.
GrayKey adında bir veri çıkarma aracı sunan Magnet Forensics, onaylandı Tetikleyicinin “cihazın kilit durumuna bağlı” olduğunu ve “cihaz kilitli duruma girdiğinde ve 72 saat içinde kilidi açılmadığında yeniden başlatılacağını” belirten “hareketsizlik yeniden başlatma” özelliği.
“Yeni hareketsizlik yeniden başlatma zamanlayıcısı nedeniyle, mevcut en fazla verinin elde edilmesini sağlamak için cihazların mümkün olan en kısa sürede görüntülenmesi artık her zamankinden daha zorunlu” diye ekledi.