Ian Beer pubblica un’analisi approfondita di BlastPass Zero-Click IMessage Exploit dal 2023
In una svolta a sorpresa degli eventi, il ricercatore di sicurezza di Google Project Zero Ian Beer è salito sulla piattaforma di social media 𝕏 (precedentemente Twitter) questa settimana a condividere Un recitazione approfondita sul NSO BlastPass Exploit NSO 0-Click che era stato attivamente sfruttato in natura prima di essere patchato da Apple in iOS & iPados 16.6.1 il 7 settembreth2023.
All’epoca, l’exploit era considerato altamente pericoloso a causa di quanto fosse facile per un aggressore scatenare contro una vittima. IPhone e iPad avrebbero potuto essere compromessi sull’ultimo firmware (al momento) senza alcun input da parte dell’utente finale del dispositivo, tutto dall’attaccante che inviava gli allegati Passkit della vittima che contenevano immagini dannose tramite iMessage.
Il ricercatore Post di blog Ci guida non solo come ha funzionato l’attacco, ma anche il processo di pensiero di Beer mentre tentava di invertire ingegnere. È piuttosto la lettura affascinante, soprattutto se la ricerca sulla sicurezza ti è interessante.
Nel post del blog, Beer afferma che mentre BlastPass condivide somiglianze con l’Exessage Exploit di ForceGentry 0-Click utilizzato dal gruppo NSO nello spyware di Pegasus, i due attacchi funzionano in modo molto diverso. In conclusione, raggiunge la seguente detrazione:
Questa è la seconda exploit NSO in The Wild che si basava sulla semplice rinomina di un’estensione del file per accedere a un parser in un contesto inaspettato che non avrebbe dovuto essere consentito.
Forcedentry aveva un .gif che era davvero un .pdf.
BlastPass aveva un .png che era davvero un .webp.
Un principio di base del sandboxing è il trattamento di tutti i dati controllati dagli attaccanti in arrivo come non attendibili e non semplicemente fidarsi di un’estensione del file.
Questo parla di una sfida più ampia nel sandboxing: che gli approcci attuali basati sull’isolamento del processo non possono solo portarti finora. Aumentano la lunghezza di una catena di exploit, ma non riducono necessariamente le dimensioni della superficie di attacco remota iniziale. La mappatura accurata, quindi ridurre veramente l’ambito di quella superficie di attacco remota iniziale dovrebbe essere una priorità assoluta.
Mentre l’exploit di cui parla in questo pezzo è stato da allora rattopparato da Apple, attacchi simili possono continuare a essere fabbricati a lungo nel futuro poiché il sandboxing è una scienza imperfetta che non può difendersi da tutti gli attacchi; Piuttosto, li rallenta. Naturalmente, è così che è oggi tutta la sicurezza del software, in quanto è un gioco di gatto e topo infinito tra produttori di stalwart e hacker disperati con interessi avversari.
Pensi che vedremo un altro attacco a 0 giorni a 0 giorni come Blastpass di NSO e forzato in futuro? Discutere nella sezione commenti in basso.