Software de vigilância israelense Pegasus direciona dados da nuvem para iPhones infectados

A empresa israelense NSO Group alega que sua ferramenta atualizada de vigilância multimilionária, chamada Pegasus, agora também pode extrair dados de serviços em nuvem como iCloud, Google Drive e Facebook Messenger, entre outros, de um iPhone ou Android smartphone infectado.

De acordo com um relatório paywall'd publicado ontem pelo The Financial Times, o aplicativo funciona nos mais recentes smartphones iPhone e Android, aproveitando as explorações para continuar trabalhando mesmo depois que a ferramenta foi removida pelo usuário.

Diz-se que a nova técnica copia as chaves de autenticação de serviços como Google Drive, Facebook Messenger e iCloud, entre outros, de um telefone infectado, permitindo que um servidor separado represente o telefone, incluindo sua localização. Isso concede acesso aberto aos dados em nuvem desses aplicativos sem 'solicitar verificação em duas etapas ou e-mail de aviso no dispositivo de destino', de acordo com um documento de vendas.

Roubar tokens de autenticação é uma técnica antiga de obter acesso à conta de nuvem de alguém sem precisar do nome de usuário, senha ou códigos de verificação em duas etapas. Diferentemente das chaves de criptografia que o iOS usa para proteger seus dados locais, esses tokens de autenticação não são armazenados no Secure Enclave da Apple, que é isolado do resto do sistema.

Aqui está a resposta da Apple:

O iOS é a plataforma de computação mais segura e protegida do mundo. Embora existam algumas ferramentas caras para realizar ataques direcionados a um número muito pequeno de dispositivos, não acreditamos que sejam úteis para ataques generalizados contra consumidores.

Curiosamente, a Apple não nega que tal capacidade possa existir. A gigante da tecnologia acrescentou que atualiza regularmente o sistema operacional móvel e as configurações de segurança para manter os usuários protegidos.

Embora o NSO Group tenha negado a promoção de ferramentas de hackers ou de vigilância em massa para serviços em nuvem, não negou especificamente que havia desenvolvido a capacidade descrita nos documentos.

Fundamentalmente, a ferramenta funciona em qualquer dispositivo "que o Pegasus possa infectar".

Um documento de apresentação da empresa-mãe da NSO, Q-Cyber, que foi preparada para o governo de Uganda no início deste ano, anunciou a capacidade da Pegasus de 'recuperar as chaves que abrem cofres na nuvem' e 'sincronizar e extrair dados independentemente'.

Ter acesso a um 'ponto de extremidade da nuvem' significa que os bisbilhoteiros podem alcançar 'muito além do conteúdo do smartphone', permitindo que as informações sobre um alvo sejam exibidas a partir de vários aplicativos e serviços, afirmou o discurso de vendas. Ainda não está claro se o governo de Uganda comprou o serviço, que custa milhões de dólares.

Aceite as alegações do Grupo NSO com um grão de sal.

Esta não é a primeira vez que alguém faz afirmações ousadas a respeito de ignorar os recursos de segurança dos chips personalizados da Apple e do software iOS para iPhone e iPad. É verdade que a aplicação da lei não evita pagar milhões de dólares em taxas pelos direitos de uso desse software. Também é verdade que o FBI finalmente se voltou para Pegasus, a fim de desbloquear um telefone pertencente ao atirador de San Bernardino. No entanto, também é verdade que se tratava de um iPhone mais antigo sem o coprocessador criptográfico Secure Enclave da Apple, que fornece criptografia de disco completa e proteção de hardware para as chaves de criptografia de disco..

No entanto, ferramentas como o Pegasus podem ter sido usadas para invadir até os iPhones modernos, mas isso ocorre porque seus proprietários foram tolos o suficiente para instalar um aplicativo não autorizado que incluía malware. Outras técnicas incluem a instalação de uma VPN invisível para detectar o tráfego da rede, decifrar uma senha fraca ou explorar uma grande supervisão por parte do usuário, que pode abrir um vetor de ataque.

Não parece que o Pegasus explora uma vulnerabilidade do iOS para acessar seus dados na nuvem.

Um dos documentos de apresentação oferecia uma maneira antiquada de impedir esse tipo de escuta: alterar a senha de um aplicativo e revogar sua permissão de login. Isso cancela a viabilidade do token de autenticação replicado até que, de acordo com o documento, o Pegasus seja reimplementado.

Sim, existem explorações para iOS e algumas nunca são divulgadas, mas o agressivo mecanismo de atualização de software da Apple instala patches rapidamente. Que eu saiba, nenhuma empresa de segurança ainda não reivindicou inequivocamente que pode invadir os iPhones mais recentes.

O Pegasus foi usado recentemente para hackear o WhatsApp por meio de uma vulnerabilidade não revelada. Desde então, o WhatsApp fechou a brecha e o Departamento de Justiça dos EUA está investigando.

Pensamentos?