- वॉशिंगटन DC स्थित एक अंतरराष्ट्रीय नागरिक समाज संगठन के कर्मचारी के iPhone की जांच के दौरान, NSO Group के Pegasus spyware को डिलीवर कर रही एक सक्रिय रूप से शोषित की जा रही कमजोरी मिली
- Citizen Lab ने इस exploit chain को BLASTPASS नाम दिया, और यह नवीनतम iOS 16.6 पर भी बिना किसी victim interaction के iPhone से समझौता कर सकती थी
- हमलावर ने iMessage के जरिए malicious image वाले PassKit attachment भेजकर zero-click infection की कोशिश की, और Citizen Lab ने आगे और विश्लेषण साझा करने की बात कही
- Citizen Lab ने खोज की जानकारी तुरंत Apple के साथ साझा की, और Apple ने संबंधित कमजोरियों के लिए CVE-2023-41064 और CVE-2023-41061 जारी किए
- Apple का अपडेट iPhone, iPad, Mac और Apple Watch पर लागू होता है, और Citizen Lab तथा Apple Security Engineering and Architecture टीम का मानना है कि Lockdown Mode इस हमले को ब्लॉक करता है
BLASTPASS exploit chain
- Citizen Lab ने वॉशिंगटन DC स्थित और अंतरराष्ट्रीय कार्यालयों वाले एक नागरिक समाज संगठन के कर्मचारी के डिवाइस की जांच करते समय, वास्तविक हमलों में इस्तेमाल हो रही zero-click कमजोरी खोजी
- इस कमजोरी का उपयोग NSO Group के Pegasus mercenary spyware को डिलीवर करने के लिए किया जा रहा था
- Citizen Lab ने इस exploit chain का नाम BLASTPASS रखा
- BLASTPASS बिना किसी victim interaction के नवीनतम iOS 16.6 चला रहे iPhone से समझौता कर सकता था
- हमला हमलावर के iMessage अकाउंट से पीड़ित को PassKit attachment भेजकर किया गया
- attachment में malicious image शामिल थी
- संबंधित दस्तावेज़ PassKit में देखे जा सकते हैं
- Citizen Lab ने कहा कि वह आगे चलकर इस exploit chain पर अधिक विस्तृत चर्चा प्रकाशित करेगा
Apple disclosure और CVE
- Citizen Lab ने खोज की जानकारी तुरंत Apple के साथ साझा की और Apple की जांच में सहयोग किया
- Apple ने इस exploit chain से जुड़े दो CVE जारी किए
-
CVE-2023-41064
- CVE-2023-41061
-
तुरंत अपडेट और Lockdown Mode
- Citizen Lab ने सभी उपयोगकर्ताओं को अपने डिवाइस तुरंत अपडेट करने की सलाह दी
- Apple ने अपने प्रोडक्ट्स के लिए अपडेट जारी किए, जिनमें iPhone, iPad, Mac और Apple Watch शामिल हैं
- जिन उपयोगकर्ताओं को अपनी पहचान या गतिविधियों के कारण अधिक जोखिम हो सकता है, उन्हें Lockdown Mode सक्षम करने की सलाह दी गई
- Citizen Lab और Apple Security Engineering and Architecture टीम का मानना है कि Lockdown Mode इस खास हमले को ब्लॉक करता है
- Citizen Lab ने Apple की तेज जांच प्रतिक्रिया और patch cycle की सकारात्मक सराहना की, और पीड़ित तथा उसके संगठन के सहयोग और समर्थन को मान्यता दी
नागरिक समाज को निशाना बनाने से मिलने वाला सुरक्षा संकेत
- यह खोज फिर से दिखाती है कि नागरिक समाज उन्नत exploit और mercenary spyware का निशाना बनता है
- Apple के अपडेट दुनिया भर के आम उपयोगकर्ताओं, कंपनियों और सरकारों के डिवाइस की सुरक्षा में मदद करेंगे
- BLASTPASS की खोज इस बात को रेखांकित करती है कि नागरिक समाज संगठनों का समर्थन करना सामूहिक cybersecurity के लिए बहुत मूल्यवान है
अपडेट रिकॉर्ड
- पोस्ट को 7 सितंबर को Eastern Time के अनुसार शाम 5:42 बजे अपडेट किया गया
- इस अपडेट में यह जोड़ा गया कि Apple Security Engineering and Architecture टीम और Citizen Lab का मानना है कि Lockdown Mode इस खास हमले को ब्लॉक करता है
1 टिप्पणियां
Hacker News की राय
Apple और software पर तो बहुत बातें होती हैं, लेकिन NSO Group आखिर मौजूद कैसे रह पाता है, इस पर बहुत कम बात होती है
ये लोग लगभग खुलेआम काम करते हैं और लगता है इन्हें कोई शर्म भी नहीं है। वरना वे इसे अपने resume में नहीं डालते: https://www.linkedin.com/company/nso-group/people/
इसे देखकर लगता है कि “tech community” ऐसी तकनीक के इस्तेमाल को बहुत आसानी से स्वीकार कर लेती है। वही तकनीक जिसके बारे में हम मानते हैं कि यह “दुनिया को बेहतर बनाएगी”
NSO को Israel सरकार का समर्थन मिलता हुआ लगता है। वे कहते हैं कि वे सिर्फ पहले से vet किए गए governments को बेचते हैं, लेकिन असल में अक्सर इसे उन authoritarian देशों को बेचा जाता है जो शासन के विरोधियों की निगरानी और उत्पीड़न करते हैं
NSO Group बुरा इसलिए है क्योंकि आरोप है कि उसने repressive regimes को बेचा, और उन regimes को निर्दोष civilians को नुकसान पहुंचाने के लिए software deploy करने में सक्रिय मदद की। ऐसे actions और intent, और accountability manage करने में failure की वजह से उस पर sanctions लगने चाहिए, और मेरी याद में उस पर पहले से sanctions लगे हुए हैं
हालांकि कई exceptions हैं, जैसे seller और buyer दोनों का good faith में होना और इसे सिर्फ कानून के मुताबिक इस्तेमाल करने की योजना होना। यह legal advice नहीं है
यह उम्मीद करने की कोई वजह नहीं कि दुनिया जल्द ही disarm हो जाएगी, इसलिए सबसे अच्छा रास्ता है जागरूक रहना, democratically policy पर असर डालना, और बुरे ideas व bad actors को हटाना
Israel, Iran के साथ संभावित युद्ध में allies बनाने के लिए Saudi Arabia को लगातार साथ लाने की कोशिश कर रहा है। Saudi airspace से गुजरने की अनुमति पाने के लिए वे कुछ human rights activists को जरूर बलि चढ़ा देंगे। हालांकि हाल में Israel के लिए चीजें बहुत ठीक चलती नहीं दिख रहीं
असल में tech community बहुत diverse है और बिल्कुल cohesive नहीं है। उदाहरण के लिए, कई developers बस basic living expenses ही मुश्किल से निकाल पाते हैं, इसलिए उनके पास NSO क्या है यह जानने की मानसिक फुर्सत भी नहीं होती
Lockdown Mode के बारे में यह देखना दिलचस्प है कि बहुत जोर देकर कहा जाता है कि अगर आप journalist नहीं हैं या किसी सीधे और स्पष्ट खतरे में नहीं हैं, तो इसे इस्तेमाल न करें। असल में user के नजरिए से feature difference बहुत बड़ा नहीं है; यह बस Apple की कई अनावश्यक चीजें बंद कर देता है जो background में चलती हैं और attack surface बढ़ाती हैं
फिर भी हर कोई उसी तरह caveat दोहराता है कि “इसे कोई भी इस्तेमाल नहीं कर सकता, सिर्फ खास लोगों को करना चाहिए।” जबकि यह कोई scarce resource नहीं है और न ही zero-sum है। उल्टा, अगर सब लोग इस्तेमाल करें तो users के लिए फायदा न देने वाले कई features बंद हो सकते हैं, battery भी बच सकती है, और जितना ज्यादा इस्तेमाल होगा, उतना ही इसे किसी खास user की पहचान करने के लिए इस्तेमाल करना कठिन होगा
Apple नहीं चाहेगा कि iOS, Android की तुलना में धीमा या sluggish महसूस हो। साथ ही zero-day spyware आम तौर पर mass surveillance की बजाय important people को target करता है, इसलिए individual के लिए actual risk कम ही होता है
अच्छा होता अगर दोनों modes के बीच कोई compromise mode होता। जैसे जरूरत पड़ने पर कुछ मिनटों के लिए security कम करने की सुविधा। उदाहरण के लिए, अगर Safari detect करे कि JavaScript धीमी है, तो वह पूछ सकता है कि क्या JIT वापस enable करना है
realpolitik के नजरिए से देखें तो, repressive regimes ने शायद Apple को यह feature वाले devices launch करने की अनुमति इस शर्त पर दी हो कि वह इसे actively promote नहीं करेगा या default नहीं बनाएगा। अगर China में Lockdown Mode default on हो और ज्यादातर लोग उसे इस्तेमाल करें, तो Apple बहुत जल्दी China से बाहर कर दिया जाएगा
web content में भी मुझे फर्क महसूस नहीं हुआ, शायद इसलिए कि मैं Safari की जगह Firefox/Chrome इस्तेमाल करता हूं। मुझे सच में जो चाहिए वह options हैं। उदाहरण के लिए iOS पर मैं shared photo albums इस्तेमाल करता हूं, तो अच्छा होगा अगर उस feature को बनाए रखकर बाकी features बंद कर सकूं
सबसे पहले Continuity लगभग टूटती हुई लगती है, और मैं personally उस feature पर काफी निर्भर हूं। AirPlay भी काफी unreliable हो गया
यह सब network issues भी हो सकते हैं, लेकिन Lockdown Mode पर switch करने के बाद से ही ऐसा हुआ। इसके अलावा screen time requests काम न करना भी काफी असुविधाजनक है
iMessage में अब तक कितनी vulnerabilities रही हैं?
क्या अब समय नहीं आ गया कि नए contacts के पहले message में सिर्फ plain text की अनुमति हो, और बाकी messages में भी ActiveX से बहुत अलग न लगने वाले इस पागल extension system की जगह सिर्फ बेहद सीमित subset की अनुमति दी जाए?
साथ ही पूरी app को sandbox में चलाने और अतिरिक्त protection layer के तौर पर सब कुछ WebView में handle करने पर भी विचार किया जा सकता है
iMessage को भी ठीक इसी कारण से वही behavior अपनाना चाहिए। यह देखना निराशाजनक है कि पिछली पीढ़ी ने जो सबक दर्दनाक तरीके से सीखे थे, उसी building में काम करने वाले लालची product managers उन्हें फिर से सीख रहे हैं
जवाब यह नहीं होना चाहिए कि “images render ही न करें।” external data जैसे images को parse करने वाले components पर भरोसा होना चाहिए कि input चाहे जो भी हो, वे malicious behavior नहीं कर सकते
अगर sandboxing चाहिए तो वह करें, और अगर सभी image parsers को safe language में शुरू से फिर से लिखना पड़े या उनकी correctness formally prove करनी पड़े, तो वह करें। Apple के पास अपनी space program दस बार चलाने जितना पैसा है, तो वह provable image library भी बना सकता है
iMessage में कुछ ही exploits रहे हैं, और NSO जैसी जगहें उन्हें बेहद महंगे दामों पर बहुत कम, खराब किस्म के state actors को license करती हैं, जो उन्हें ultra-high-risk targeted attacks में इस्तेमाल करते हैं
मिल गया। जिन्हें दिलचस्पी हो: iPhone में Settings पर जाएं, Messages दबाएं, फिर iMessage को Off कर दें
फिर से image decoding buffer overflow, 2021 की vulnerability जैसा सुनाई देता है [1]
तब वाला सच में जबरदस्त था। PDF में embedded एक obscure image compression format द्वारा दिए गए primitive operations से CPU बनाया गया था, और arbitrary code execution तक आगे escalate करने लायक arithmetic operations किए गए थे
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
गलत न समझें। मुझे लगता है JPEG-XL एक अच्छा idea है, लेकिन जो लोग कहते हैं “एक और image format support करने से क्या नुकसान है,” उनके लिए यही जवाब है
यह fix आज आया है और announcement के साथ timing मिलाई गई लगती है, इसलिए यह check करना चाहिए कि आपके और आसपास के लोगों के updates applied हैं या नहीं
https://support.apple.com/en-us/HT201222
जहां तक मुझे पता है, iMessage का सारा parsing code BlastDoor sandbox के अंदर चलना चाहिए, तो क्या यहां कोई और undisclosed chain vulnerability है?
NSO Group को Commerce Department की blacklist में डालना साफ तौर पर काफी नहीं था। ये कचरा लोग कम से कम रूपक रूप में तो The Hague भेजे जाने चाहिए
अगर NSO Group, Pegasus, Citizen Lab के बारे में जानना चाहते हैं, तो Darknet Diaries podcast का episode 100 history का अच्छा overview देता है
जिनकी curiosity हो, उनके लिए link: https://darknetdiaries.com/episode/100/
ज्यादा granular Lockdown Mode चाहिए। उदाहरण के लिए iMessage और Safari की automation और risk factors बंद हों, लेकिन device accessories चलते रहें
iMessage zero-click exploit से खुद को बचाने के लिए Bluetooth accessories तक खो देना अच्छा नहीं है। iMessage सबसे बड़ा खुला attack surface है
उदाहरण के लिए Settings > Messages > iMessage एक switch है जिसे आप iMessage को problem मानते हैं तो बंद कर सकते हैं
Settings > Safari > Privacy and security में भी Safari के लिए ज्यादा granular lockdown configure करने की कई settings हैं
सोच रहा हूँ कि क्या Lockdown Mode ने इस हमले को रोका होगा
क्या अब तक Lockdown Mode में चल रहे किसी iPhone को zero-day vulnerability के जरिए हैक किया गया है? उन मामलों को छोड़कर जिनमें उपयोगकर्ता को धोखा देकर malicious program install कराया गया हो
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
CL लिंक: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
इससे जुड़ा चल रहा thread:
iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - सितंबर 2023, 7 comments