1 पॉइंट द्वारा GN⁺ 2023-09-08 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • वॉशिंगटन DC स्थित एक अंतरराष्ट्रीय नागरिक समाज संगठन के कर्मचारी के iPhone की जांच के दौरान, NSO Group के Pegasus spyware को डिलीवर कर रही एक सक्रिय रूप से शोषित की जा रही कमजोरी मिली
  • Citizen Lab ने इस exploit chain को BLASTPASS नाम दिया, और यह नवीनतम iOS 16.6 पर भी बिना किसी victim interaction के iPhone से समझौता कर सकती थी
  • हमलावर ने iMessage के जरिए malicious image वाले PassKit attachment भेजकर zero-click infection की कोशिश की, और Citizen Lab ने आगे और विश्लेषण साझा करने की बात कही
  • Citizen Lab ने खोज की जानकारी तुरंत Apple के साथ साझा की, और Apple ने संबंधित कमजोरियों के लिए CVE-2023-41064 और CVE-2023-41061 जारी किए
  • Apple का अपडेट iPhone, iPad, Mac और Apple Watch पर लागू होता है, और Citizen Lab तथा Apple Security Engineering and Architecture टीम का मानना है कि Lockdown Mode इस हमले को ब्लॉक करता है

BLASTPASS exploit chain

  • Citizen Lab ने वॉशिंगटन DC स्थित और अंतरराष्ट्रीय कार्यालयों वाले एक नागरिक समाज संगठन के कर्मचारी के डिवाइस की जांच करते समय, वास्तविक हमलों में इस्तेमाल हो रही zero-click कमजोरी खोजी
  • इस कमजोरी का उपयोग NSO Group के Pegasus mercenary spyware को डिलीवर करने के लिए किया जा रहा था
  • Citizen Lab ने इस exploit chain का नाम BLASTPASS रखा
  • BLASTPASS बिना किसी victim interaction के नवीनतम iOS 16.6 चला रहे iPhone से समझौता कर सकता था
  • हमला हमलावर के iMessage अकाउंट से पीड़ित को PassKit attachment भेजकर किया गया
    • attachment में malicious image शामिल थी
    • संबंधित दस्तावेज़ PassKit में देखे जा सकते हैं
  • Citizen Lab ने कहा कि वह आगे चलकर इस exploit chain पर अधिक विस्तृत चर्चा प्रकाशित करेगा

Apple disclosure और CVE

  • Citizen Lab ने खोज की जानकारी तुरंत Apple के साथ साझा की और Apple की जांच में सहयोग किया
  • Apple ने इस exploit chain से जुड़े दो CVE जारी किए
    • CVE-2023-41064

      • CVE-2023-41061

तुरंत अपडेट और Lockdown Mode

  • Citizen Lab ने सभी उपयोगकर्ताओं को अपने डिवाइस तुरंत अपडेट करने की सलाह दी
  • Apple ने अपने प्रोडक्ट्स के लिए अपडेट जारी किए, जिनमें iPhone, iPad, Mac और Apple Watch शामिल हैं
  • जिन उपयोगकर्ताओं को अपनी पहचान या गतिविधियों के कारण अधिक जोखिम हो सकता है, उन्हें Lockdown Mode सक्षम करने की सलाह दी गई
  • Citizen Lab और Apple Security Engineering and Architecture टीम का मानना है कि Lockdown Mode इस खास हमले को ब्लॉक करता है
  • Citizen Lab ने Apple की तेज जांच प्रतिक्रिया और patch cycle की सकारात्मक सराहना की, और पीड़ित तथा उसके संगठन के सहयोग और समर्थन को मान्यता दी

नागरिक समाज को निशाना बनाने से मिलने वाला सुरक्षा संकेत

  • यह खोज फिर से दिखाती है कि नागरिक समाज उन्नत exploit और mercenary spyware का निशाना बनता है
  • Apple के अपडेट दुनिया भर के आम उपयोगकर्ताओं, कंपनियों और सरकारों के डिवाइस की सुरक्षा में मदद करेंगे
  • BLASTPASS की खोज इस बात को रेखांकित करती है कि नागरिक समाज संगठनों का समर्थन करना सामूहिक cybersecurity के लिए बहुत मूल्यवान है

अपडेट रिकॉर्ड

  • पोस्ट को 7 सितंबर को Eastern Time के अनुसार शाम 5:42 बजे अपडेट किया गया
  • इस अपडेट में यह जोड़ा गया कि Apple Security Engineering and Architecture टीम और Citizen Lab का मानना है कि Lockdown Mode इस खास हमले को ब्लॉक करता है

1 टिप्पणियां

 
GN⁺ 2023-09-08
Hacker News की राय
  • Apple और software पर तो बहुत बातें होती हैं, लेकिन NSO Group आखिर मौजूद कैसे रह पाता है, इस पर बहुत कम बात होती है
    ये लोग लगभग खुलेआम काम करते हैं और लगता है इन्हें कोई शर्म भी नहीं है। वरना वे इसे अपने resume में नहीं डालते: https://www.linkedin.com/company/nso-group/people/
    इसे देखकर लगता है कि “tech community” ऐसी तकनीक के इस्तेमाल को बहुत आसानी से स्वीकार कर लेती है। वही तकनीक जिसके बारे में हम मानते हैं कि यह “दुनिया को बेहतर बनाएगी”

    • Pegasus वाली NSO पर PBS की documentary अच्छी है: https://www.pbs.org/wgbh/frontline/documentary/global-spywar...
      NSO को Israel सरकार का समर्थन मिलता हुआ लगता है। वे कहते हैं कि वे सिर्फ पहले से vet किए गए governments को बेचते हैं, लेकिन असल में अक्सर इसे उन authoritarian देशों को बेचा जाता है जो शासन के विरोधियों की निगरानी और उत्पीड़न करते हैं
    • NSO तो कहता है कि वह सिर्फ “terrorists और criminals” को target करता है, तो अगर कोई नागरिक कानून मानने वाला है और उसके पास छिपाने को कुछ नहीं है, तो उसे चिंता करने की क्या जरूरत? आखिर दुनिया में ऐसी कोई regime तो होगी नहीं जो investigative journalism या opposition politics करने भर से किसी पर criminal या terrorist होने का आरोप लगा दे
    • अमेरिकी entities के बीच malware/software weapons बेचना आम तौर पर कानूनी है, और एक बड़ा exception यह है कि अगर यह ITAR regulation के दायरे में आता है, तो open source न होने पर इसे सिर्फ US government या ITAR-approved suppliers को ही बेचा जा सकता है
      NSO Group बुरा इसलिए है क्योंकि आरोप है कि उसने repressive regimes को बेचा, और उन regimes को निर्दोष civilians को नुकसान पहुंचाने के लिए software deploy करने में सक्रिय मदद की। ऐसे actions और intent, और accountability manage करने में failure की वजह से उस पर sanctions लगने चाहिए, और मेरी याद में उस पर पहले से sanctions लगे हुए हैं
      हालांकि कई exceptions हैं, जैसे seller और buyer दोनों का good faith में होना और इसे सिर्फ कानून के मुताबिक इस्तेमाल करने की योजना होना। यह legal advice नहीं है
    • इनमें से काफी चीजें weapons के तौर पर classified होती हैं, इसलिए व्यवहार में यह किसी company की बजाय Israel सरकार द्वारा बेचे जाने जैसा है। यह MANPADS से अलग नहीं है, जिन्हें Ukraine में Ka-52 गिराने के लिए भी इस्तेमाल किया जा सकता है और civilian airliner गिराने के लिए भी; उनकी दिशा manufacturing country की foreign policy और उसकी failures से तय होती है
      यह उम्मीद करने की कोई वजह नहीं कि दुनिया जल्द ही disarm हो जाएगी, इसलिए सबसे अच्छा रास्ता है जागरूक रहना, democratically policy पर असर डालना, और बुरे ideas व bad actors को हटाना
      Israel, Iran के साथ संभावित युद्ध में allies बनाने के लिए Saudi Arabia को लगातार साथ लाने की कोशिश कर रहा है। Saudi airspace से गुजरने की अनुमति पाने के लिए वे कुछ human rights activists को जरूर बलि चढ़ा देंगे। हालांकि हाल में Israel के लिए चीजें बहुत ठीक चलती नहीं दिख रहीं
    • ऐसा impression है कि “tech community” को किसी खास दिशा में मोड़ने की संगठनात्मक क्षमता वाला कोई cohesive group माना जा रहा है
      असल में tech community बहुत diverse है और बिल्कुल cohesive नहीं है। उदाहरण के लिए, कई developers बस basic living expenses ही मुश्किल से निकाल पाते हैं, इसलिए उनके पास NSO क्या है यह जानने की मानसिक फुर्सत भी नहीं होती
  • Lockdown Mode के बारे में यह देखना दिलचस्प है कि बहुत जोर देकर कहा जाता है कि अगर आप journalist नहीं हैं या किसी सीधे और स्पष्ट खतरे में नहीं हैं, तो इसे इस्तेमाल न करें। असल में user के नजरिए से feature difference बहुत बड़ा नहीं है; यह बस Apple की कई अनावश्यक चीजें बंद कर देता है जो background में चलती हैं और attack surface बढ़ाती हैं
    फिर भी हर कोई उसी तरह caveat दोहराता है कि “इसे कोई भी इस्तेमाल नहीं कर सकता, सिर्फ खास लोगों को करना चाहिए।” जबकि यह कोई scarce resource नहीं है और न ही zero-sum है। उल्टा, अगर सब लोग इस्तेमाल करें तो users के लिए फायदा न देने वाले कई features बंद हो सकते हैं, battery भी बच सकती है, और जितना ज्यादा इस्तेमाल होगा, उतना ही इसे किसी खास user की पहचान करने के लिए इस्तेमाल करना कठिन होगा

    • iOS थोड़ा असुविधाजनक हो जाता है। उदाहरण के लिए iMessage में एक-दूसरे को add करते समय, और Safari की JavaScript performance भी काफी घट जाती है
      Apple नहीं चाहेगा कि iOS, Android की तुलना में धीमा या sluggish महसूस हो। साथ ही zero-day spyware आम तौर पर mass surveillance की बजाय important people को target करता है, इसलिए individual के लिए actual risk कम ही होता है
      अच्छा होता अगर दोनों modes के बीच कोई compromise mode होता। जैसे जरूरत पड़ने पर कुछ मिनटों के लिए security कम करने की सुविधा। उदाहरण के लिए, अगर Safari detect करे कि JavaScript धीमी है, तो वह पूछ सकता है कि क्या JIT वापस enable करना है
    • अगर लोग background features इस्तेमाल करें, यह वे नहीं चाहते, तो उन्होंने वे features शुरुआत में डाले ही नहीं होते। Apple ने जो features जानबूझकर डाले हैं, वे “बेकार” हों या नहीं, users उन्हें इस्तेमाल करें—यह चाहना आश्चर्यजनक नहीं है
    • capitalism के नजरिए से देखें तो, अगर बहुत जोर देकर न बताया जाए, तो Apple को पहली बार इस्तेमाल करने वाला कोई customer अपने चिंतित friends या family की सलाह पर Lockdown Mode default रूप से on कर सकता है, फिर advertised features काम न करने पर Apple से शिकायत कर सकता है या device return कर सकता है
      realpolitik के नजरिए से देखें तो, repressive regimes ने शायद Apple को यह feature वाले devices launch करने की अनुमति इस शर्त पर दी हो कि वह इसे actively promote नहीं करेगा या default नहीं बनाएगा। अगर China में Lockdown Mode default on हो और ज्यादातर लोग उसे इस्तेमाल करें, तो Apple बहुत जल्दी China से बाहर कर दिया जाएगा
    • Mac पर मैं Lockdown Mode on करके इस्तेमाल करता हूं, क्योंकि iMessage, FaceTime और बाकी Apple services इस्तेमाल नहीं करता। यह असल में software development और YouTube videos के लिए computer ही है
      web content में भी मुझे फर्क महसूस नहीं हुआ, शायद इसलिए कि मैं Safari की जगह Firefox/Chrome इस्तेमाल करता हूं। मुझे सच में जो चाहिए वह options हैं। उदाहरण के लिए iOS पर मैं shared photo albums इस्तेमाल करता हूं, तो अच्छा होगा अगर उस feature को बनाए रखकर बाकी features बंद कर सकूं
    • Lockdown Mode on करने पर काफी चीजें अजीब हो गई थीं
      सबसे पहले Continuity लगभग टूटती हुई लगती है, और मैं personally उस feature पर काफी निर्भर हूं। AirPlay भी काफी unreliable हो गया
      यह सब network issues भी हो सकते हैं, लेकिन Lockdown Mode पर switch करने के बाद से ही ऐसा हुआ। इसके अलावा screen time requests काम न करना भी काफी असुविधाजनक है
  • iMessage में अब तक कितनी vulnerabilities रही हैं?
    क्या अब समय नहीं आ गया कि नए contacts के पहले message में सिर्फ plain text की अनुमति हो, और बाकी messages में भी ActiveX से बहुत अलग न लगने वाले इस पागल extension system की जगह सिर्फ बेहद सीमित subset की अनुमति दी जाए?
    साथ ही पूरी app को sandbox में चलाने और अतिरिक्त protection layer के तौर पर सब कुछ WebView में handle करने पर भी विचार किया जा सकता है

    • इसका पहले से smoothly लागू किया गया precedent मौजूद है। Apple Mail client अज्ञात senders के media को user confirmation के बिना render नहीं करता
      iMessage को भी ठीक इसी कारण से वही behavior अपनाना चाहिए। यह देखना निराशाजनक है कि पिछली पीढ़ी ने जो सबक दर्दनाक तरीके से सीखे थे, उसी building में काम करने वाले लालची product managers उन्हें फिर से सीख रहे हैं
    • अब भी ऐसी चीज़ें बार-बार हो रही हैं, इस पर यकीन नहीं होता। “zero click” सुनते ही समझ आ जाता है कि यह image या font जैसे complex payloads में से कोई होगा
      जवाब यह नहीं होना चाहिए कि “images render ही न करें।” external data जैसे images को parse करने वाले components पर भरोसा होना चाहिए कि input चाहे जो भी हो, वे malicious behavior नहीं कर सकते
      अगर sandboxing चाहिए तो वह करें, और अगर सभी image parsers को safe language में शुरू से फिर से लिखना पड़े या उनकी correctness formally prove करनी पड़े, तो वह करें। Apple के पास अपनी space program दस बार चलाने जितना पैसा है, तो वह provable image library भी बना सकता है
    • यह ActiveX से बहुत अलग है। ActiveX के सैकड़ों exploits usenet के अंधेरे कोनों में खुले घूमते थे, और typical basement script kiddies उन्हें दुनिया भर के computers के खिलाफ abuse करते थे
      iMessage में कुछ ही exploits रहे हैं, और NSO जैसी जगहें उन्हें बेहद महंगे दामों पर बहुत कम, खराब किस्म के state actors को license करती हैं, जो उन्हें ultra-high-risk targeted attacks में इस्तेमाल करते हैं
    • iOS के सभी processes sandbox में चलते हैं। इसलिए ऐसे exploits बनाना इतना मुश्किल होता है
    • मुझे curiosity थी कि iPhone पर iMessage को सच में बंद किया जा सकता है या नहीं। अभी मैं सिर्फ WhatsApp इस्तेमाल करता हूं, और मजबूत किए गए SMS में मेरी दिलचस्पी नहीं है
      मिल गया। जिन्हें दिलचस्पी हो: iPhone में Settings पर जाएं, Messages दबाएं, फिर iMessage को Off कर दें
  • फिर से image decoding buffer overflow, 2021 की vulnerability जैसा सुनाई देता है [1]
    तब वाला सच में जबरदस्त था। PDF में embedded एक obscure image compression format द्वारा दिए गए primitive operations से CPU बनाया गया था, और arbitrary code execution तक आगे escalate करने लायक arithmetic operations किए गए थे
    [1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...

    • मुझे iOS 4 का TIF rendering bug भी याद आता है, जिसका इस्तेमाल पहले jailbreakme.com करता था। Safari में button दबाया और iPod touch reboot होकर Cydia installed मिला—यह cool था
    • इसलिए मुझे Chrome द्वारा अभी तक JPEG-XL adopt न करने की बात और समझ में आती है
      गलत न समझें। मुझे लगता है JPEG-XL एक अच्छा idea है, लेकिन जो लोग कहते हैं “एक और image format support करने से क्या नुकसान है,” उनके लिए यही जवाब है
    • फिर से image decoding में buffer overflow है। कोई सोच सकता है कि Apple threat modeling करेगा और fuzzing को पूरी तरह चलाएगा, लेकिन ऐसा नहीं है। 2.7 trillion dollar market cap वाली company यह नहीं कर पा रही
    • शायद बेवकूफी भरा सवाल हो, लेकिन कुख्यात रूप से high-risk media decoders अच्छी तरह sandboxed क्यों नहीं हैं?
    • security के बारे में मुझे ज्यादा नहीं पता, लेकिन लगता है यह मैं कभी नहीं भूलूंगा। बहुत fascinating है
  • यह fix आज आया है और announcement के साथ timing मिलाई गई लगती है, इसलिए यह check करना चाहिए कि आपके और आसपास के लोगों के updates applied हैं या नहीं
    https://support.apple.com/en-us/HT201222

    • दिलचस्प है कि kernel vulnerability जैसी किसी चीज़ का उल्लेख नहीं है
      जहां तक मुझे पता है, iMessage का सारा parsing code BlastDoor sandbox के अंदर चलना चाहिए, तो क्या यहां कोई और undisclosed chain vulnerability है?
    • हैरानी है कि अभी तक iOS 15 के लिए fix क्यों नहीं है। क्या iOS 15 इस attack के लिए vulnerable नहीं है? या security fix backports अक्सर देर से आते हैं और मुझे पता नहीं? अगर ऐसा है, तो क्या ऐसे exploit को रोकने के लिए कोई workaround लागू करना चाहिए?
  • NSO Group को Commerce Department की blacklist में डालना साफ तौर पर काफी नहीं था। ये कचरा लोग कम से कम रूपक रूप में तो The Hague भेजे जाने चाहिए

  • अगर NSO Group, Pegasus, Citizen Lab के बारे में जानना चाहते हैं, तो Darknet Diaries podcast का episode 100 history का अच्छा overview देता है

  • ज्यादा granular Lockdown Mode चाहिए। उदाहरण के लिए iMessage और Safari की automation और risk factors बंद हों, लेकिन device accessories चलते रहें
    iMessage zero-click exploit से खुद को बचाने के लिए Bluetooth accessories तक खो देना अच्छा नहीं है। iMessage सबसे बड़ा खुला attack surface है

    • iMessage Apple की moat का भी बड़ा हिस्सा है। Apple शायद ऐसे green-bubble alternative messaging apps की अनुमति नहीं देगा जो ज्यादा safe हो सकते हैं
    • Settings में पहले से अपनी पसंद के अनुसार “Lockdown Mode adjust” करने की settings हैं
      उदाहरण के लिए Settings > Messages > iMessage एक switch है जिसे आप iMessage को problem मानते हैं तो बंद कर सकते हैं
      Settings > Safari > Privacy and security में भी Safari के लिए ज्यादा granular lockdown configure करने की कई settings हैं
  • सोच रहा हूँ कि क्या Lockdown Mode ने इस हमले को रोका होगा
    क्या अब तक Lockdown Mode में चल रहे किसी iPhone को zero-day vulnerability के जरिए हैक किया गया है? उन मामलों को छोड़कर जिनमें उपयोगकर्ता को धोखा देकर malicious program install कराया गया हो

    • लगता है पहले ऐसा हुआ था। हालांकि पक्का नहीं कि यह वही खास exploit था या नहीं
      https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
      CL लिंक: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
    • रोकता है। उसी page पर भी, जिन प्रभावित लोगों ने अभी update नहीं किया है उनके लिए mitigation के तौर पर Lockdown Mode की सिफारिश की गई है
    • post Lockdown Mode इस्तेमाल करने की सिफारिश करता है और Apple के एक प्रतिनिधि की इस बात को quote करता है कि इस exploit को रोका गया होगा
  • इससे जुड़ा चल रहा thread:
    iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - सितंबर 2023, 7 comments