NSO集团的Pegasus间谍软件持续威胁

重点总结

• NSO集团的Pegasus间谍软件依然存在安全隐患，尽管有报告表明其运营正在减缓。
• 新发现的零点击漏洞PWNYOURHOME和FINDMYPWN同时针对了iOS 15和16的两个苹果攻击面。
• 苹果的Lockdown Mode能够有效阻止Pegasus的攻击。
• 现代的利用缓解措施虽然能够减小攻击者执行任意代码的自由，但NSO集团依然找到规避这些防护的办法。

NSO集团开发的Pegasus间谍软件依旧威胁着全球的用户，最近的报告显示这家公司的操作并没有如传言那样停止。CitizenLab的监控人员发现了针对iOS 15和16的两个不同远程攻击面的新零点击漏洞。

根据CitizenLab的研究，PWNYOURHOME和FINDMYPWN是首个同时远程攻击两个苹果攻击面的零点击漏洞。针对iOS的零点击漏洞并不是新鲜事，过去的研究证明该策略曾用于攻击运行iOS14的设备，涉及NSO集团的Pegasus间谍软件。

NSO集团因开发和传播Pegasus间谍软件而声名狼藉，这种软件被全球的私人及政府部门广泛应用于监控媒体工作者、人权和公民权利活动家、政治家及其他个体。

在NSO集团提出的请求，允许对该以色列公司的持续诉讼进行。Meta公司，作为WhatsApp的拥有者，指控NSO通过非法访问WhatsApp服务器在用户设备上安装Pegasus，以对1,400个个体进行监控。

Citizen Lab最近的研究发现，与NSO集团有关的另外三个零点击漏洞也用于攻击iOS 15和iOS16设备。这些战术是在对NSO针对多家墨西哥人权组织的持续调查中发现的。

网络防御者应该注意，这些新战术表明NSO集团正在加大努力，以阻止研究人员分析其战术，并试图阻止感染的所有痕迹。即使他们并未成功，这个组织无疑正在破坏这些努力。

第一个漏洞PWNYOURHOME是一种iOS漏洞，攻击者能够渗透iMessage应用以修改HomeKit软件。该问题已向苹果公司披露，并在iOS16.3.1更新中修复了漏洞。

该攻击分为两个阶段进行，每个阶段针对不同的iOS过程。第一个阶段利用了HomeKit应用中的守护进程崩溃，然后下载PNG图像到iMessage应用程序，导致BlastDoor崩溃。CitizenLab无法确定该漏洞如何离开BlastDoor，但发现该漏洞随后通过名为“mediaserverd”的iOS组件启动Pegasus。

幸运的是，苹果的锁定模式（LockdownMode）功能似乎有效阻止了NSO集团发起的PWNYOURHOME攻击，因为该功能向用户发出了可视的通知警告。不过，尚无迹象表明NSO已停止使用这一漏洞，暗示该集团“可能已找到解决通知问题的方法，比如指纹识别锁定模式。”

第二个漏洞FINDMYPWN有效地针对了iOS 15.5和15.6设备上的fmfd进程。该漏洞允许在缓存目录内写入和删除项目。CitizenLab对该漏洞发布的法医信息进行了限制，以免通知NSO集团可能的规避技术。

最后一个漏洞LATENTIMAGE是在研究人员重新评估早期法医数据后观察到的。LATENTIMAGE首次出现在2022年1月，影响iOS15设备。证据表明该漏洞也利用了“查找我的”功能，但其初始访问点尚未确认。

在Citizen Lab看来，“多重攻击面的使用应促使开发者全面考虑设备安全，并将通过单一标识符可接触的整个表面视为一个单一的安全面。”

此外，“现代的利用缓解措施，如指针认证代码，显著减少了攻击者在设备上执行任意代码的自由度，”研究人员表示。但是，PWNYOURHOME的存在表明“真实世界的攻击者确实能够找到切实可行的规避