Компания Apple опубликовала срочное обновление для всех операционных систем iPhone, поскольку исследователи обнаружили новую брешь в системе безопасности, используемую шпионской программой Pegasus израильской компании NSO. 

Согласно отчету Citizen Lab, iPhone «одного из сотрудников базирующейся в Вашингтоне международной организации гражданского общества» атакован неизвестной до сих пор версией шпионской программы. 

Pegasus классифицируется как шпионское программное обеспечение продвинутого уровня. Его можно продавать только таким организациям, как национальные вооруженные силы, секретные службы или полиция – при условии получения разрешения израильского органа, регулирующего экспорт оборонной продукции. 

Исследователи обнаружили, что шпионская программа использует лазейку в системе оплаты Apple, известной как PassKit, позволяющую устанавливать вредоносные программы, обходя многочисленные защитные механизмы смартфона. Система позволяет использовать iPhone в качестве цифрового кошелька (Apple Pay), что, в свою очередь, позволяет сформировать «цепочку заражения» – брешь в PassKit объединяется с брешью в системе обмена сообщениями iMessage. В результате на iPhone отправляется сообщение с изображением вредоносного кода, устанавливающего шпионскую программу Pegasus без ведома пользователя и без каких-либо действий с его стороны («нулевой клик»).

Обнаружив это, компания Apple устранила лазейку и опубликовала обновление для операционной системы iOS 16. 

Это уже не первый случай, когда Pegasus использует испорченные изображения или даже бреши в системе обмена сообщениями iPhone для установки своих шпионских программ. Технологические гиганты и агрессивные киберкомпании ведут игру в кошки-мышки: Apple за последние годы закрыла сотни брешей, но хакеры ищут новые дыры в коде. Информированные источники из этой сферы утверждают, что конкретное обнаруженное слабое место было разработано хакерами NSO, однако не исключают, что цепочка заражения или по крайней мере ее части использовали другие, аналогичные израильские фирмы. По словам экспертов, NSO располагает множеством неизвестных легкодоступных брешей в iPhone, тогда как у других компаний не всегда есть готовый запас. После недавнего обновления системы безопасности этим компаниям, видимо, будет куда сложнее продолжать оказывать своим нынешним клиентам услуги по заражению. 

Шпионские программы, подобные Pegasus, разрабатывали, в частности, для того чтобы правоохранительные органы, следственные и разведывательные службы могли взламывать мобильные устройства в рамках расследований, направленных на предотвращение серьезных преступлений и терроризма. 

После заражения устройства оператор может прослушивать разговоры, извлекать все сохраненные на устройстве данные – файлы, изображения, историю переписки и т. д., взламывать приложения для передачи закодированных сообщений, а также тайно включать камеру и микрофон устройства. 

Личность сотрудника, техника которого заражена Pegasus, и организацию, на которую он работает, не раскрывают. По всей видимости, он не американец, но работает на организацию, имеющую представительство в США, и по работе выезжает за рубеж. 

Известно, что на зараженном устройстве не было американской SIM-карты. Согласно предыдущим сообщениям, шпионская программа не работает с американскими (+1) и израильскими (+972) номерами, за исключением систем, проданных или продемонстрированных властям США. По словам источников, знакомых с технологией компании, система Pegasus, проданная в другую страну, не должна работать на территории США, а если зараженное устройство оказывается в США, то шпионская программа автоматически самоуничтожается. 

Тем не менее в Израиле опасаются, что это разоблачение вновь вызовет гнев правительства США, которое уже внесло компанию NSO в черный список, после того как один из ее клиентов заразил Pegasus телефоны американских дипломатов в Уганде. Этот шаг привел к кризису в отношениях с Израилем и внутреннему кризису в наступательной кибериндустрии. После этого Израиль принял решение лимитировать деятельность фирмы и ее конкурентов, ограничив продажи в недемократические страны. 

«Это абсолютно безответственное поведение со стороны одного из клиентов NSO», – заявил источник в отрасли, который опасается, что США вновь предпримут шаги по ограничению израильской кибериндустрии. Хотя обнародование «эксплойта» не обязательно означает гибель для киберкомпаний, оно может нанести им серьезный ущерб: несколько месяцев назад компания Quadream, специализирующаяся на кибербезопасности, была закрыта через неделю после того, как Citizen Lab обнаружила, что шпионские программы Quadream использовались против журналистов и оппозиционных активистов по всему миру. До появления этого сообщения компания уже находилась в глубоком кризисе, вызванном, в частности, тем, что Израиль отказался одобрить крупную сделку с Марокко.

Citizen Lab и Apple подтвердили, что пользователи iPhone, активировавшие функцию «повышенной безопасности», которая недавно появилась в новой операционной системе iOS и известна как Lockdown Mode, были защищены от вирусов, обнаруженных недавно, и других, выявленных в апреле этого года. «Хотя не исключено, что NSO разработала обходной путь, мы не обнаружили ни одного случая успешной атаки на устройства с включенным режимом Lockdown Mode. Это обнадеживает. Хотя маловероятно, что одно средство защиты может остановить все шпионские атаки, а безопасность – это многогранная проблема, мы все же считаем, что данный случай подтверждает важность использования этого средства пользователями с высоким уровнем риска», – сообщили исследователи.

В ответ NSO заявила: «Мы не можем ответить на эти претензии, поскольку не было опубликовано никакой подтверждающей информации».

Омер Бен-Яков, «ХаАрец», Н.Б. Фото: Depositphotos.com √