Apple rolt patch uit voor zero-click exploit iMessage

Close-up van Apples berichtendienst iMessage op een iPhone

Apple heeft een beveiligingsupdate aangekondigd voor iOS, iPadOS, macOS en watchOS. De besturingssystemen maken allen gebruik van Apples berichtendienst iMessage. Deze applicatie bevat een kwetsbaarheid die ForcedEntry heet. Door de patch te installeren wordt een gevaarlijk beveiligingslek gedicht.

Dat schrijft Apple op een ondersteuningspagina.

ForcedEntry actief misbruikt voor spionage

Het ForcedEntry-lek wordt actief misbruikt door de NSO Group om stiekem sms-berichten mee te lezen. Deze kwetsbaarheid kwam eind augustus aan het licht door onderzoek van The Citizen Lab van de universiteit van Toronto. Wetenschappers en onderzoekers ontdekten dat een hacker deze kwetsbaarheid gebruikte om de iPhones van negen activisten uit Bahrein te infecteren met Pegasus, spyware of spionagesoftware waarmee slachtoffers ongemerkt afgeluisterd kunnen worden.

Dat iPhone-gebruikers het slachtoffer kunnen worden van spionagepraktijken, is een groot gevaar op zich. Wat ForcedEntry nog gevaarlijker maakte, is dat hij zonder ingrijpen van de ontvanger misbruikt kan worden. In dat geval spreken we van een zero-click exploit. Niet alleen de activisten uit Bahrein zijn de dupe geworden van deze exploit: The Citizen Lab publiceerde maandag een lijvig rapport waarin ze gedetailleerd beschreef dat ook een Saoedische dissident via deze exploit werd afgeluisterd.

Apple rolt beveiligingsupdates uit

ForcedEntry maakt misbruik van een kwetsbaarheid in Apples image rendering library CoreGraphics. Door een simpel .GIF-bestand naar het slachtoffer te sturen, kan een hacker toegang krijgen tot het apparaat. Hoewel het bestand .GIF als extensie heeft, is het in werkelijkheid een .PSD of .PDF file. Dit bestand zorgt ervoor dat de IMTranscoderAgent crasht op het apparaat, waardoor de aanvaller een arbitrary code execution kan uitvoeren. Hierdoor is het mogelijk om van afstand spyware of andere malware te installeren. Medewerkers van The Citizen Lab vermoeden dat deze kwetsbaarheid sinds februari van dit jaar wordt misbruikt.

De ForcedEntry exploit is aanwezig in iOS, iPadOS, macOS en watchOS, de besturingssystemen voor respectievelijk de iPhone, iPad, Mac-computer en Apple Watch. De meest recente versie van iOS en iPadOS is 14.8, voor macOS is dat 11.6 en voor watchOS 7.6.2. De update bevat tevens een patch voor Webkit waardoor het uitvoeren van een remote code execution niet langer mogelijk is. Tot slot komt Apple met een fix voor webbrowser Safari tegen deze kwetsbaarheid.

NSO Group ontkent grootschalige spionagepraktijken

De NSO Group staat al jaren in een negatief daglicht. Ook recentelijk wist het Israëlische beveiligingsbedrijf de nieuwskoppen van alle grote media te halen. Zeventien nieuwsorganisaties publiceerden in juli een artikel waarin ze stelden dat diverse overheden tussen 2016 en juni 2019 gebruikmaakten van Pegasus. De afluistersoftware van het bedrijf werd ingezet om honderden, zo niet duizenden journalisten, activisten en mensenrechtenadvocaten af te luisteren en nauwlettend in de gaten te houden.

Ook prominente mensen uit de zakenwereld en de politiek werden met de spyware van de NSO Group bespioneerd. Volgens The Washington Post werd de Franse president Emmanuel Macron afgeluisterd met Pegasus. Hetzelfde geldt voor Charles Michel, voorzitter van de Europese Raad, de premiers van Pakistan en Egypte, en de koning van Marokko Mohammed VI.

De NSO Group heeft de aantijgingen van spionage altijd ontkend. Het bedrijf houdt vol dat zijn software dagelijks gebruikt om onder meer pedofielen- en drugsnetwerken op te rollen, ontvoerde kinderen op te sporen en de nationale veiligheid van landen te beschermen. In een reactie tegenover persbureau Reuters zegt een woordvoerder van het bedrijf dat het “inlichtingen- en handhavingsinstanties over de hele wereld zal blijven voorzien van levensreddende technologieën in de strijd tegen terrorisme en criminaliteit”.

Veel weerstand tegen Pegasus-software

De NSO Group claimt dat zijn afluistersoftware alleen voor vredelievende doeleinden wordt ingezet. Toch maken velen zich grote zorgen over onze privacy en veiligheid. Michelle Bachelet, de Hoge Commissaris voor de Mensenrechten van de Verenigde Naties (VN), riep in juli overheden op om niet langer gebruik te maken van Pegasus. “De onthullingen over het kennelijk wijdverbreide gebruik van de Pegasus-software om journalisten, mensenrechtenverdedigers, politici en anderen in diverse landen te bespioneren, zijn uiterst alarmerend. Ze lijken enkele van onze grootste nachtmerries te bevestigen over het mogelijke misbruik van bewakingstechnologie om de mensenrechten van mensen illegaal te ondermijnen”, aldus Bachelet.

Ook commerciële partijen worden liever niet geassocieerd met NSO Group. Zo verwijderde Amazon alle online accounts en de gehele infrastructuur van het bedrijf op Amazon Web Services (AWS). Het Israëlische bedrijf gebruikte het content delivery network CloudFront om Pegasus te verspreiden. “Toen we lucht kregen van deze activiteiten, hebben we snel gehandeld om de relevante infrastructuur en accounts af te sluiten”, vertelde een woordvoerder van de online retailer.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen