Casa > cibernético Notícias > Spyware Vendors Exploit Zero-Days in iOS and Android
CYBER NEWS

Fornecedores de spyware exploram Zero-Days em iOS e Android

Grupo de análise de ameaças do Google (TAG) recentemente descobriu que duas campanhas separadas foram realizadas no ano passado, a fim de explorar uma série de zero-day e vulnerabilidades de n dias em dispositivos Android e iOS.

O que é uma vulnerabilidade de n dias? Uma exploração de dia N é uma vulnerabilidade que já foi explorada e tem um patch disponível para corrigi-la. Isso é diferente de uma exploração de dia zero, que é uma vulnerabilidade que foi descoberta recentemente e ainda não foi corrigida pelo fornecedor.

estas campanhas, executado por fornecedores de spyware comercial, foram limitados e altamente direcionados, aproveitando o tempo entre o lançamento de uma correção e a implementação nos dispositivos de destino. Contudo, a magnitude e as especificidades dessas campanhas ainda são desconhecidas.

Fornecedores de spyware e exploração de dia zero

Fornecedores de spyware exploram Zero-Days em iOS e Android

A TAG tem monitorado pessoas envolvidas em operações de informação, ataques apoiados pelo governo, e abuso motivado financeiramente por anos. Recentemente, A TAG está de olho em mais de 30 fornecedores de spyware comercial de vários níveis de proficiência e visibilidade, que estão vendendo habilidades de exploração e vigilância para entidades apoiadas pelo governo.

Esses fornecedores estão tornando mais fácil para as entidades governamentais obterem ferramentas de hacking que, de outra forma, não seriam capazes de desenvolver por conta própria.. Mesmo que a utilização de tecnologia de vigilância possa ser permitida sob certas leis, essas ferramentas são usadas regularmente por governos para atingir dissidentes, jornalistas, ativistas de direitos humanos, e figuras políticas da oposição, Clement Lecigne, da TAG, escreveu em uma postagem no blog.




Em novembro 2022, TAG descobriu cadeias de ataque com 0 dias que afetaram dispositivos Android e iOS, que foram enviados para usuários na Itália, Malásia, e Cazaquistão via links bit.ly enviados por SMS. quando clicado, esses links levariam os visitantes a páginas contendo explorações projetadas especificamente para Android ou iOS, antes de redirecioná-los para sites legítimos, como a página de rastreamento de cargas para BRT, uma empresa italiana de transporte e logística, ou um conhecido site de notícias da Malásia.

A cadeia de exploração do iOS

A cadeia de exploração do iOS foi definida em versões do sistema operacional anteriores a 15.1 e incluiu CVE-2022-42856, uma vulnerabilidade de execução remota de código do WebKit de dia zero devido a um problema de confusão de tipos no compilador JIT. A exploração usou a técnica de bypass DYLD_INTERPOSE PAC, que foi corrigido pela Apple em março 2022. A mesma técnica foi usada nos exploits da Cytrox, conforme observado na postagem do blog da Citizenlab sobre o Predator. Ambos os exploits apresentavam o “make_bogus_transform” funcionar como parte do desvio do PAC.

Outro dia zero explorado é o CVE-2021-30900, um bug de fuga de sandbox e escalonamento de privilégios no AGXAccelerator, que foi corrigido pela Apple no 15.1 atualizar. Este bug foi documentado anteriormente em um exploit para oob_timestamp lançado no Github em 2020.

A cadeia de exploração do Android

A cadeia de explorações do Android visava usuários com GPUs ARM executando versões do Chrome antes 106. A cadeia é composta por três exploits, incluindo um dia zero: CVE-2022-3723, uma vulnerabilidade de confusão de tipo detectada pelo Avast em estado selvagem, e corrigido em outubro 2022 como parte da versão 107.0.5304.87. CVE-2022-4135 é um desvio de sandbox da GPU do Chrome que afetou apenas o Android, que foi classificado como dia zero no momento da exploração e foi corrigido em novembro 2022. CVE-2022-38181 também foi usado, um bug de escalonamento de privilégios corrigido pela ARM em agosto 2022. Ainda não se sabe se os invasores exploraram essa vulnerabilidade antes de ela ser relatada ao ARM.

Vale ressaltar que os usuários foram redirecionados para o Chrome usando o Redirecionamento de intenção se eles vierem do Samsung Internet Browser. Isso é o oposto do que vimos os invasores fazerem no passado, como no caso do CVE-2022-2856, onde os usuários foram redirecionados do Chrome para o Samsung Internet Browser. A carga útil desta cadeia de exploração não estava disponível.

Quando o ARM lançou uma correção para CVE-2022-38181, muitos fornecedores falharam em incorporar imediatamente o patch, permitindo que os bugs sejam explorados. Isso foi apontado recentemente por postagens de blog do Project Zero e do Github Security Lab.
É importante observar que os dispositivos Pixel com o 2023-01-05 atualização de segurança e usuários do Chrome atualizados para a versão 108.0.5359 estão protegidos de ambas as cadeias de exploração, TAG notado.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo