Опубліковані юридичні документи у справі між WhatsApp від Meta та ізраїльською компанією NSO Group показали, що NSO Group використовувала численні експлойти для установки шпигунського ПЗ Pegasus через WhatsApp, навіть після подачі позову від Meta.
Документи свідчать, що NSO Group постійно знаходила способи встановлення інвазивного ПЗ на пристрої жертв, попри спроби WhatsApp створити нові захисні механізми. У травні 2019 року WhatsApp заблокувала кібератаку, яка використовувала відеодзвінки для доставки Pegasus через вразливість CVE-2019-3568 — критичну помилку переповнення буфера.
Згідно з документами, NSO Group розробила новий вектор встановлення Pegasus, відомий як Erised, який також використовував сервери WhatsApp для встановлення шпигунського ПЗ без взаємодії з жертвою. Вектор був нейтралізований після травня 2020 року, що означає, що він використовувався навіть після подачі позову в жовтні 2019 року.
Erised — один із багатьох векторів, об’єднаних під назвою Hummingbird, для доставки Pegasus через WhatsApp. Інші вектори включають Heaven та Eden (останній — кодова назва CVE-2019-3568), які використовувалися для цільових атак на близько 1 400 пристроїв.
Використання власного серверу NSO для обходу захисту
Згідно з документами суду, NSO Group отримувала код WhatsApp, розшифровувала його та створювала власний “сервер встановлення WhatsApp” (WIS) для надсилання викривлених повідомлень, які нормальний клієнт WhatsApp надіслати не міг. Це дозволяло заражати цільові пристрої шпигунським ПЗ Pegasus у порушення закону та умов користування WhatsApp.
Конкретно Heaven використовував маніпульовані повідомлення для примушення серверів аутентифікації WhatsApp спрямовувати цільові пристрої на сторонній сервер, контрольований NSO Group. До кінця 2018 року оновлення серверів безпеки WhatsApp змусило NSO створити новий експлойт Eden, який замінив їхній сервер на сервери WhatsApp.
Документи також показують, що клієнти NSO Group мали мінімальну участь у процесі, лише вводячи номер цільового пристрою, після чого NSO встановлювала Pegasus дистанційно.
Реакція Apple на загрози від Pegasus
Apple нещодавно вирішила “добровільно” відкликати позов проти NSO Group, мотивуючи це ризиком розкриття критичної інформації про безпеку. У відповідь на загрози шпигунського ПЗ, Apple додала нові функції безпеки, зокрема режим блокування, що знижує функціональність деяких додатків для захисту від найманого шпигунського ПЗ.
Цього тижня також стало відомо про новий механізм захисту в iOS 18.2: пристрій автоматично перезавантажується, якщо не був розблокований протягом 72 годин, що вимагає повторного введення паролю. Це ускладнює доступ до пристроїв для правоохоронних органів та інших сторонніх осіб.
