geplaatst door: Robert
https://www.macfreak.nl/modules/news/images/Spyware-icoon.jpg
Pegasus-software gebruikt om heel erg veel mensen af te luisteren
Er zijn wereldwijd minimaal 180 journalisten, en waarschijnlijk nog veel meer mensen, zoals advocaten en oppositiepolitici, bespioneerd met de Pegasus-software van de Israëlische NSO Group. Nu is nog niet exact bekend om hoeveel doelwitten het in totaal gaat.

Maar bij de Franse non-profit Forbidden Stories en de forensische afdeling van Amnesty International hebben ze een lijst met meer dan 50.000 telefoonnummers die doelwit zouden zijn geweest. Daarvan zijn er al meer dan 1.000 geïdentificeerd, in meer dan 50 verschillende landen. Waaronder de twee vrouwen het dichts bij Khashoggi, de Saudische dissident en columnist voor The Washington Post die op 2 oktober in de Saudische ambassade in Turkije vermoord werd.

https://www.macfreak.nl/modules/news/images/zArt.Spyware.png
Pegasus-software gebruikt om heel erg veel mensen af te luisteren


Dit alles is te lezen in The Guardian en The Washington Post, de twee publicaties die dit nieuws naar buiten hebben gebracht.

Android en iPhone

De Pegasus-software infecteert zowel Android-smartphones als iPhones, maar in het nieuws zal je waarschijnlijk vooral over iPhones lezen. Dat komt omdat het in Android-smartphones veel lastiger is om achteraf te zien of die geïnfecteerd zijn geweest, omdat daarin geen log-bestanden bewaard worden die dat kunnen aantonen. Wel is in een aantal Android-smartphones aangetoond dat die aangevallen zijn, maar er is dus geen informatie over het succes daarvan.

Hoe de aanvallen zijn uitgevoerd is ook nog niet bekend. Mogelijk ging met om berichten die naar de telefoons verstuurd werden met een linkje waarop geklikt moest worden om het te activeren. Maar het is ook mogelijk dat het ging om berichtjes die zichzelf activeerden, en waarover ook geen melding te zien was.



De reactie van Apple

Bij Apple zijn ze natuurlijk niet blij met dit nieuws, daar wordt juist constant met man en macht gewerkt om dit soort hacks onmogelijk te maken. Hieronder de reactie bij monde van Ivan Krstić, hoofd van Apple Security Engineering and Architecture:

Citaat
Apple unequivocally condemns cyberattacks against journalists, human rights activists and others seeking to make the world a better place.

For over a decade, Apple has led the industry in security innovation and, as a result, security researchers agree iPhone is the safest, most secure consumer mobile device on the market. Attacks like the ones described are highly sophisticated, cost millions of dollars to develop, often have a short shelf life and are used to target specific individuals. While that means they are not a threat to the overwhelming majority of our users, we continue to work tirelessly to defend all our customers, and we are constantly adding new protections for their devices and data.
Nu is al bekend dat in totaal 65 hoog geplaatste zakenmensen, 85 mensen die zich bezighouden met mensenrechten, 189 journalisten en meer dan 600 politici en mensen die voor overheden werken slachtoffer van deze hack zijn geworden. Daarbij zijn mogelijk hun gesprekken afgeluisterd, wachtwoorden, locatie-data, contacten en foto’s buitgemaakt.

En deze droevige lijst zal de komende tijd waarschijnlijk alleen nog maar verder groeien. De NSO Group houdt ondertussen vol dat hun software alleen maar gebruikt wordt om terroristen op te sporen en misdaad te bestrijden. Kennelijk hanteren zij andere definities dan de meesten van ons, hieronder de verklaring van dit bedrijf:

Citaat
NSO does not operate the systems that it sells to vetted government customers, and does not have access to the data of its customers' targets. NSO does not operate its technology, does not collect, nor possesses, nor has any access to any kind of data of its customers. Due to contractual and national security considerations, NSO cannot confirm or deny the identity of our government customers, as well as identity of customers of which we have shut down systems.




 #Privacy
Je product of dienst op MacFreak onder de aandacht brengen? Klik dan hier.
geplaatst door: gipsman
Pegasus is een waardige opvolger van Cambridge Analytica. Is de overheid er überhaupt mee bezig? Ja, voorzover ze er zelf gebruik van maken. Verder verdrijft men de verveling met de mondkapjesplicht, digitale overload van covid verordeningen of landkaarten afwisselend groen oranje en rood kleuren. Uitholling van de democratie heeft veel gezichten.
geplaatst door: Timotheus
Op geheime diensten valt heel moeilijk grip te krijgen, al is het alleen maar omdat die opereren met goedvinden en zelfs medewerking van hun regeringen.

Verbeter de wereld, begin bij jezelf, zegt een oud spreekwoord. Als onze regering eerst eens begon om hier op digitaal privacy-gebied zoveel mogeijk orde op zaken te stellen, en in Brussel zoveel mogelijk zinnige initiatieven aan te kaarten en te steunen. Dat zou al een prima stap in de goede richting zijn.
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: Flix
Apple mag het zich aantrekken dat dit soort software, hoe complex en geavanceerd het dan ook mag zijn, kan draaien op iOS. Hoop dat dat snel is afgelopen.
geplaatst door: puk1980
Hoop dat dat snel is afgelopen.
Dit soort bugs wordt ieder jaar getoond én beloond op Pwn2Own.
En als ze in verkeerde handen vallen, gebeurt er zoiets.
Stay at 127.0.0.1, wear a 255.255.255.0
geplaatst door: boiing
Ik realiseer me door zo'n bericht weer hoe naïef we zijn met z'n allen (inclusief mezelf). Denken dat Apple onze devices veilig houdt, onze privacy waarborgt en dat over het algemeen beter doet dan andere bedrijven.

Niet dus. 'We' maken geen schijn van kans tegen dit soort praktijken.
geplaatst door: Flix
https://www.theguardian.com/news/2021/jul/19/how-does-apple-technology-hold-up-against-nso-spyware

Bijzonder is de constatering dat de end-to-end encryption van iMessage juist wordt gezien als een nadeel in het hele security systematiek van iOS. Tja...
geplaatst door: Flix
Ik realiseer me door zo'n bericht weer hoe naïef we zijn met z'n allen (inclusief mezelf). Denken dat Apple onze devices veilig houdt, onze privacy waarborgt en dat over het algemeen beter doet dan andere bedrijven.
Niet dus. 'We' maken geen schijn van kans tegen dit soort praktijken.
Dit is natuurlijk wel een hele andere orde van grote dan de bekende bedreigingen zoals het volgen en data verzamelen vanwege commerciële redenen, etc.
Dit is simpelweg echt oorlog voeren door staten, door geheime diensten, en mogelijkerwijs allerlei duistere organisaties als de Maffia.
Dit is groot, dit is echt heel groot!

Met de kennis van nu zou ik als journalist die omgaat met gevoelige data, onmiddellijk een tweede telefoon aanschaffen voor enkel alle berichten diensten, zonder verder enige data erop, en geen connectie met andere (cloud) diensten. Want de zwakte zit blijkbaar in iMessage, WhatsApp, e.d.

Er zal de komende tijd nog wel meer schokkende informatie naar boven komen. Ik ben benieuwd of en hoe Apple (en ook Google) hierop gaat reageren.
geplaatst door: boiing
Uiteraard is dit van een andere orde, maar mijn verbazing blijft groot.

Dat er kwetsbaarheden zitten in WA of iMessage kan ik me voorstellen. Maar dat is slechts de ‘attack-vector’: de manier om binnen te komen. Dat er vervolgens processen actief zijn op je device die kunnen doen wat ze willen, toegang hebben tot álles en ook nog ondetecteerbaar blijken: daar kan ik niet bij en begrijp ik niets van. Van elke app die iets geks doet (camera, locatie, klembord) krijg je een waarschuwing maar Pegasus kan doen wat ‘t wil.

Onvoostelbaar dat Apple niet in staat is z’n OS hiertegen te beschermen.
geplaatst door: Timotheus
Niet dus. 'We' maken geen schijn van kans tegen dit soort praktijken.
Ook mij lijkt het verstandig niet teveel illusies te hebben op dit punt. En het is m.i. niet toevallig dat NSO een Israëlisch bedrijf is. Israël is omringd door vijanden, en MOET dus beter geïnformeerd zijn dan zijn hele omgeving, anders is het per definitie ten dode opgeschreven. En Israël was al beter geïnformeerd toen er nog helemaal geen internet bestond; de Mossad was toen al overal. Dat streven zal er altijd blijven, in Israël, in China, in de VS en elders, en daar valt weinig of niets tegen te doen.

Maar van de andere kant moeten we ook niet tot defaitisme vervallen, want dat leidt ons zeker naar de slachtbank. Als we ons even tot de zorg voor onze eigen privacy beperken (want op de rest hebben we toch geen vat), dan kom je toch al een aardig eind als je:

- principieel geen social media gebruikt
- voor de communicatie alleen open source programma's gebruikt
- Google, Chrome e.d. mijdt
- "nee" zegt tegen voorstellen om persoonlijke gegevens in grote databases onder te brengen (zoals bij de medische zorg)

Niks nieuws uiteraard; maar wie houdt zich eraan? Alleen het eerste punt al is voor de meeste mensen onbespreekbaar. En dan houdt het eigenlijk al op.

Verder blijf ik ik zeer sympathiek staan tegen een bedrijf als Proton. Niet met de illusie dat daar absoluut waterdichte garanties worden geboden, maar wel met de overtuiging dat men daar zeer goed bezig is. Misschien zijn hun producten qua veiligheid wel de beste die op de vrije markt te krijgen zijn.

I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: Jurriaan
Is er werkelijk iets veranderd sinds de komst van de smartphone? Zoals al aangehaald de geheime diensten waren al overal. Met de komst en gebruik van computers en smartphones is het wellicht zelfs wel makkelijker werken voor geheime diensten.

Dankzij het feit dat iOS een log bij houdt weet men of de betreffende iPhone geïnfecteerd was. Een ‘voordeel’ tov Android.
SE2 iOS 14 | Air2 iPadOS 15 beta | iMac 24” ‘08 | Rapoo 6010b | Logitech K380 | Logitech Folio
geplaatst door: Timotheus
Is er werkelijk iets veranderd sinds de komst van de smartphone? Zoals al aangehaald de geheime diensten waren al overal. Met de komst en gebruik van computers en smartphones is het wellicht zelfs wel makkelijker werken voor geheime diensten.
Beveiligingen wekken de suggestie dat er iets te halen valt, en scherpen de speurzin. Dat doet me weer denken aan een Latijns gedicht. De strekking daarvan is ongeveer de volgende:

Citaat
Claudius, je vrouw is zo lelijk als de nacht; niemand was in haar geïnteresseerd. Maar sinds je haar twee lijfwachten hebt gegeven, begint ze zowaar begeerlijk te worden.
Maar goed, de geheime diensten houden we niet tegen. Maar we kunnen wel proberen de uitholling van de democratie tegen te gaan. Daar kunnen we zelf het nodige aan doen. Laten we daar eens serieus mee beginnen; dat wordt echt hoog tijd.

I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: gipsman
@timotheus
- "nee" zegt tegen voorstellen om persoonlijke gegevens in grote databases onder te brengen (zoals bij de medische zorg)

Ik heb het ‘medisch dossier’ (BE) groen licht gegeven, er wellicht onterecht van uitgaande dat de gegevens goed beschermd worden en onbereikbaar zijn voor bv. overheidsdiensten, verzekeraar en jaja begrafenisondernemers (mooi Vlaams woord vermoed ik).

Maar in de eerste plaats bespaart het een hoop gedoe, soms een papierberg, omdat ‘de volgende in de rij’ niks weet over jou: je bent een patiënt zonder verleden, maw als je een medische issue hebt, dan komt dat vanuit het niets. Niet zo in een medisch dossier wat alle (gekwalificeerde) diensten mogen inkijken, incl. alle privacy gevolgen van dien.
geplaatst door: puk1980
...en jaja begrafenisondernemers ( mooi Vlaams woord vermoed ik).
[offtopic]
Dat woord kennen wij Ollanders ook. :smile:

https://nl.wikipedia.org/wiki/Uitvaartondernemer
[/offtopic]
Stay at 127.0.0.1, wear a 255.255.255.0
geplaatst door: gipsman
@puk1980
Hm, ja, de uitvaart. Maar ik zou mijn begrafenis nooit een uitvaart durven noemen. In België is dat meer iets voor mensen ‘die er toe doen’: staatslieden, geslaagde ondernemers, grote schrijvers (type Mulish), slachtoffers van aanslagen.
geplaatst door: Flix
Uiteraard is dit van een andere orde, maar mijn verbazing blijft groot.
Onvoorstelbaar dat Apple niet in staat is z’n OS hiertegen te beschermen.
Eens.
Maar ik vermoed dat die lui van de NSO meer kennis in huis hebben van het iOS, dan de groep programmeurs van Apple dat hebben, hoe gek dat ook mag klinken.

Het doet me ook denken aan de '2015 San Bernardino attack', waar het 'FBI–Apple encryption dispute' uit kwam (zie Wikipedia); uiteindelijk heeft de FBI de betreffende iPhone 5c naar eigen zeggen door derden kunnen laten unlocken, en dat zou ook een Israëlisch bedrijf zijn geweest. Die NSO misschien?

Voor Apple zou het een optie zijn om Pegasus ook te kopen, en daar goed mee aan de gang te gaan om deze en toekomstige hacks onmogelijk te maken. Ik vrees dat ze dan iOS fors moeten herschrijven, want volgens mij werkt dat Pegasus niet met een bug, of bugs, maar gebruikt de mogelijkheden van het iOS.
geplaatst door: Timotheus
Voor Apple zou het een optie zijn om Pegasus ook te kopen …
Daar zou ik héél erg voorzichtig mee zijn. Want je haalt wel de Israëlische geheime dienst in huis, en de loyaliteit van de mensen daar aan hun eigen land zal altijd honderd maal groter zijn dan die aan een Amerikaans bedrijf; en voor je het weet ben je geen baas meer in eigen huis.
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: GeorgeM
Ik vrees dat ze dan iOS fors moeten herschrijven, want volgens mij werkt dat Pegasus niet met een bug, of bugs, maar gebruikt de mogelijkheden van het iOS.
Pegasus gebruikt een zero-day bug, dat is ook de reden dat deze hack uitgevoerd kan worden zonder tussenkomst van de gebruiker.
geplaatst door: puk1980
Pegasus gebruikt een zero-day bug, dat is ook de reden dat deze hack uitgevoerd kan worden zonder tussenkomst van de gebruiker.
Waarschijnlijk meerdere van dit soort bugs, in iMessage, FaceTime, zelfs Apple Music. Je wordt er niet vrolijk van...

Details:
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

Overzicht:
https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/
Stay at 127.0.0.1, wear a 255.255.255.0
geplaatst door: Flix
Om binnen te komen wordt klaarblijkelijk een bug gebruikt; wat daarna gebeurt lijkt meer op meeliften met het iOS.

@Timotheus: deze software wordt commercieel verkocht. Ik denk niet dat bv de Saoedi's, die ook van Pegasus gebruik lijken te maken, Israël laten meekijken.
geplaatst door: boiing
Maar ik vermoed dat die lui van de NSO meer kennis in huis hebben van het iOS, dan de groep programmeurs van Apple dat hebben, hoe gek dat ook mag klinken.
Daar lijkt het inderdaad op.. Die bugs, ook 0-day: vervelend maar dat zijn we gewend. Wordt op zeker moment gefixt en het kat-en-muis spel gaat verder. Maar dit is iets anders en dat vind ik echt het schokkendst en belangrijkst in deze zaak. Jarenlang ongelimiteerd rommelen met iOS zonder dat Apple het door heeft of er iets aan kan doen :blush:. Apple zal hopelijk toch héél benieuwd zijn hoe ze dat voor elkaar hebben gekregen. Zolang je daar niet achter komt blijven de mogelijkheden dus aanwezig en motiveert dat andere duistere partijen misschien ook hetzelfde te proberen.

Ook de Apple klant is enige uitleg verschuldigd. Al die 'gewone' beveiligingsmaatregelen vallen in het niet bij het gapende gat dat hier blijkbaar aanwezig. Ja, natuurlijk, wij gewone stervelingen zijn geen target. Het gaat om het principe: hoe de f*#ck is zoiets mogelijk en wordt er iets aan gedaan?
geplaatst door: Jurriaan
Gaat Apple er überhaupt achterkomend? Is er genoeg data beschikbaar om het te doorgronden? En kan iOS daarmee in de prullenbak?

Intrigerend dat externe meer weten over de software dan Apple.

Is de koers van Apple al flink gedaald na dit nieuws?
SE2 iOS 14 | Air2 iPadOS 15 beta | iMac 24” ‘08 | Rapoo 6010b | Logitech K380 | Logitech Folio
geplaatst door: mcmt
Een hacker hoeft niet per se meer van iOS te weten dan Apple. Eén exploit kan voldoende zijn. In het geval van NSO gaat het blijkbaar om verschillende exploits (cf. deze link), waarvan sommige zouden opgelost zijn (zoals de CVE-2016-4656 exploit die toeliet iOS devices stiekem te jailbreaken). Als je voldoende geld hebt moet je de security bugs zelfs niet zelf vinden. Met 'klanten' als die van NSO kan je je makkelijk permitteren om, zeg maar, 10 keer meer te betalen op de zwarte markt dan bijv. een security researcher kan verdienen met het bug-bounty programma van Apple.

De ontwikkelaar van de eigenlijke code daarentegen moet rekening houden met (in theorie) alle mogelijke scenario's waarin de code kan gebruikt worden. Dit vereist o.m. een pro-actieve security cultuur. Referentie 42 (2019) op bovenvermelde pagina brengt een ontnuchterende kijk op hoe gebrek aan een grondige security review van een andere security patch aanleiding kan gegeven hebben tot de CVE-2016-4656 exploit.

Citaat
The kernel vulnerability known as CVE-2016-4656 was only still in the code because Apple patched CVE-2016-1828 in May 2016 without doing a security review of the code in question. In only 20 lines of code THREE codepaths existed that allowed UAF. Apple fixed only one of those paths although the other release() methods were clearly right next to it in the code. Furthermore the now released patch for PEGASUS shows that with a little redesign of the code Apple was able to fix all THREE problems at the same time. We consider it a huge oversight that this did not happen after the UAF had been reported by Brandon Azad in January. If Apple had fixed CVE-2016-1828 in a different way CVE-2016-4656 would never have been abusable in the wild.

Unfortunately this is not the first time that Apple has botched security fixes. SektionEins has highlighted this troubling problem of Apple botching security patches over and over again for two years now. Not surprisingly highlighting this lack of QA of Apple's security patches has made us no friends at Apple and instead lead to the termination of our SysSecInfo security application from the iOS AppStore. You can read the full story here.

Final food for thought: Having looked into Brandon Azad's CVE-2016-1828 and PEGASUS' CVE-2016-4656 we believe that the kernel bug used in PEGASUS is harder to see (find) and harder to exploit than the bug found by Brandon Azad. This makes us believe that the exploit used in PEGASUS has not been written before the fix for CVE-2016-1828 had already been released, because otherwise the easier to exploit bug would have been found and chosen. This could mean that either CVE-2016-1828 had been used for previous incarnations of PEGASUS or that someone reversed CVE-2016-1828 and discovered that the fix was incomplete. But these are just guesses and our assumptions could be completely wrong.

Eén van de technieken die Apple ook toepast bestaat er in maatregelen tegen bepaalde soorten exploits in hardware te ondersteunen, zoals deze in de A12 processor (cf. deze link).

Citaat
Pointer Authentication Codes (PAC) is an ARMv8.3-A security feature that mitigates pointer tampering by storing a cryptographic signature of the pointer value in the upper bits of the pointer. Apple introduced PAC with the A12 and significantly hardened the implementation (compared to the ARM standard) in order to defend against attackers with kernel read/write, although for most purposes it is functionally indistinguishable. Apple's kernel uses PAC for control flow integrity (CFI), placing a security boundary between kernel read/write and kernel code execution.

Despite numerous public bypasses of the iOS kernel's PAC-based CFI, PAC in the kernel is still an effective exploit mitigation: it has severely restricted exploitability of many bugs and killed some exploit techniques. For example, exploits in the past have used a kernel execute primitive in order to build a kernel read/write primitive (see e.g. ziVA); that is no longer possible on A12 without bypassing PAC first. Furthermore, extensive use of PAC-protected pointers in IOKit has made it significantly harder to turn many bugs into useful primitives. Given the long history of serious security issues in IOKit, this is a substantial win.
Bewerkt: 21 juli 2021 - 15:58 door mcmt
geplaatst door: boiing
Dank mcmt voor deze wat meer technische uitleg :thumbs-up:. Die probeerde ik ook uit te lokken trouwens, uiteraard is het altijd ingewikkelder dan je denkt. Ik dacht zelf initieel dat er echt een verschil was tussen exploits om binnen te komen in een OS en de daadwerkelijke kwaadwillige code die je daarna naar believen kunt uitvoeren, en mijn verbazing was vooral dat dat laatste jarenlang ongemerkt kon blijven. Ik vind dat nog steeds lastig te begrijpen, maar een exploit op kernel level maakt blijkbaar dat je alles voor elkaar kunt krijgen op een device en dat die scheiding misschien wat minder duidelijk is. Ik proef ook een beetje uit deze achtergrond dat 'als Apple beter naar de CVE meldingen had geluisterd en erop had geacteerd'... etc.

Maar erger: je laatste alinea over 'Pointer Authentication Codes (PAC)' lijkt hoopgevend. Dat klinkt als wat ik eerder bedoelde: voorkomen dat lopende 'foute' processen (op kernel niveau) uitgevoerd kunnen worden. Alleen staat er: 'Apple introduced PAC with the A12' en in de Amnesty link hierboven van puk1980 lees ik:

Citaat
Zero-click attacks have been observed since May 2018 and continue until now. Most recently, a successful “zero-click” attack has been observed exploiting multiple zero-days to attack a fully patched iPhone 12 running iOS 14.6 in July 2021.
Een iPhone 12 heeft een A14 processor waar die genoemde PAC techniek al lang in zou zitten. Ik word hier niet vrolijker van :sad:.