Israels övervakningsprogramvara Pegasus riktar sig till molndata på infekterade iPhoner

Det israeliska företaget NSO Group hävdar att sitt uppdaterade övervakningsverktyg för flera miljoner dollar, som kallas Pegasus, nu också kan extrahera data från molntjänster som iCloud, Google Drive och Facebook Messenger, bland annat från en infekterad iPhone- eller Android-smartphone.

Enligt en betalväggsrapport som publicerades igår av The Financial Times fungerar appen på de senaste iPhone- och Android-smartphones, och utnyttjar utnyttjelser för att fortsätta arbeta även efter att verktyget har tagits bort av användaren.

Den nya tekniken sägs kopiera autentiseringsnycklarna för tjänster som Google Drive, Facebook Messenger och iCloud, bland andra, från en infekterad telefon, vilket gör att en separat server sedan kan efterge sig telefonen, inklusive dess plats. Detta ger öppen tillgång till molndata för dessa appar utan att "be om tvåstegsverifiering eller varningsmeddelande på målenheten", enligt ett försäljningsdokument.

Att stjäla autentiseringstokens är en gammal teknik för att få tillgång till någons molnkonto utan att behöva deras användarnamn, lösenord eller tvåstegs verifieringskoder. Till skillnad från de krypteringsnycklar som iOS använder för att säkra din lokala data lagras inte dessa verifieringstokens i Apples Secure Enclave som är murad från resten av systemet.

Här är Apples svar:

iOS är världens säkraste och säkraste datorplattform. Även om det kan finnas några dyra verktyg för att utföra riktade attacker på ett mycket litet antal enheter, tror vi inte att dessa är användbara för omfattande attacker mot konsumenter.

Märkligt nog förnekar Apple inte att en sådan förmåga skulle kunna existera. Teknigiganten tilllade att den regelbundet uppdaterar sitt mobila operativsystem och säkerhetsinställningar för att skydda användarna.

Medan NSO Group förnekade att marknadsföra hacking eller massövervakningsverktyg för molntjänster förnekade den inte specifikt att den hade utvecklat kapaciteten som beskrivs i dokumenten.

Av avgörande betydelse fungerar verktyget på alla enheter "som Pegasus kan infektera".

Ett tonhöjdsdokument från NSO: s moderbolag, Q-Cyber, som förbereddes för Ugandas regering tidigare i år, annonserade Pegasus förmåga att "hämta nycklarna som öppnar molnvalv" och "oberoende synkronisera och extrahera data".

Att ha tillgång till en "molnändpunkt" innebär att avlyssningar kan nå "långt och högre än smarttelefoninnehållet", vilket tillåter information om ett mål att "rulla in" från flera appar och tjänster, säger försäljningsområdet. Det är ännu inte klart om den ugandiska regeringen köpte tjänsten, som kostar miljoner dollar.

Ta NSO Groups anspråk med ett saltkorn.

Det här är inte första gången någon gör djärva påståenden om att kringgå säkerhetsfunktionerna i Apples specialdesignade chips och iOS-programvaran som driver iPhone och iPad. Det är sant att brottsbekämpning inte avskräcker från att betala miljoner dollar i avgifter för rättigheter att använda sådan programvara. Det är också sant att FBI så småningom vände sig till Pegasus för att låsa upp en telefon som hör till San Bernardino-skytten. Det är emellertid också sant att det här var en äldre iPhone utan Apples krypteringssäkerhet Secure Enclave som ger fullständig diskkryptering och hårdvaruskydd för skivkrypteringsnycklarna.

Ändå kan verktyg som Pegasus ha använts för att hacka till och med moderna iPhones, men det beror på att deras ägare var tillräckligt dumma för att installera en falsk app som inkluderade skadlig programvara. Andra tekniker inkluderar installation av en osynlig VPN för att sniffa nätverkstrafik, spricka ett svagt lösenord eller utnyttja en större övervakning från en användares del som kan öppna en attackvektor.

Det ser inte ut som Pegasus utnyttjar en iOS-sårbarhet för att komma till dina molndata.

Ett av tonhöjdsdokumenten erbjöd ett gammaldags sätt att motverka den här typen av avlyssning: att ändra en apps lösenord och återkalla inloggningstillståndet. Det upphäver livskraften för det replikerade verifieringstoken tills, enligt dokumentet, Pegasus har omfördelats.

Ja, iOS-exploater finns och några av dem avslöjas aldrig, men Apples aggressiva mjukvaruuppdateringsmekanism installerar snabbt fläckar. Så vitt jag vet har inget säkerhetsföretag ännu hävdat att det kan hacka till de senaste iPhonerna.

Pegasus användes nyligen för att hacka WhatsApp via en uppenbarad sårbarhet. WhatsApp har sedan stängt kryphålen och det amerikanska justitiedepartementet undersöker.

tankar?