Taggat med: apple

Så identifierar du spionprogramvaran Pegasus från NSO Group

I detta blogginlägg tänkte jag redogöra för en av flera metoder som kan användas för att identifiera spionprogramvaran Pegasus från ökända NSO Group.

Pegasus installeras via en eller flera sårbarheter som utnyttjas främst i iPhones. Och kräver att användaren öppnar en länk, SMS eller liknande. Dessa sårbarheter går under benämningarna Zero-Click, One-Click eller FCP som står för Full Chain with Persistence. Lite beroende på vilken typ av sårbarhet som utnyttjas.

Att vi känner till några av sårbarheterna som utnyttjas av Pegasus är för att Citizen Lab har analyserat mobiltelefonerna hos personer med kopplingar till Bahrain Center for Human Rights. Sårbarheterna åtgärdades i iOS version 14.8 som släpptes igår. Och sårbarheterna har CVE-2021-30860 som är enligt Apple:

Processing a maliciously crafted PDF may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Samt CVE-2021-30858 som inrapporterats av en anonym person men som återfinnes i Webkit:

Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Detektion

Tyvärr så finns det inget bra sätt att analysera innehållet på en iPhone om den inte är jailbreakad. Jag hoppas på att Apples Endpoint Security som finns till macOS även kommer att komma till iOS.

Har du inte möjlighet att jailbreaka så finns det några andra metoder att använda. Dels kan du via en MDM-lösning forcera ett VPN som gör det möjligt att titta på nätverkstrafik som går till och från en mobiltelefon och dels så kan du analysera backup-filer från iTunes. Även finns det möjlighet att installera en proxy som tittar på all kommunikation samt titta på eventuella loggfiler/krashloggar.

Men för detta blogginlägg tänkte jag testa MVT (Mobile Verification Toolkit) som är ett verktyg som släppts av Amnesty International. Det är ett öppet verktyg som är skrivet i Python och kan ge en fingervisning om en mobiltelefon blivit hackad.

Verktyget MVT hittar du på Github här samt Indicator of Compromise (IOC) hittar du här. Värt att nämna är att MVT även fungerar på Android-baserade mobiltelefoner.

Steg 1 är att skapa en backup av iOS-enheten via iTunes eller Finder. Du kan även skapa en krypterad backup, för mvt kan dekryptera denna med hjälp av ett lösenord:

När vi sedan har en backup så behöver vi eventuellt dekryptera denna först, det kan man göra på följande sätt:

$ mvt-ios decrypt-backup -p lösenord -d decrypted "/Users/kalle/Library/Application Support/MobileSync/Backup/00002040-00030A2313CB021A" 

Då har vi sedan en dekrypterad backup i katalogen decrypted. Då skriver vi nästa kommando som plockar ut artefakter:

$ mvt-ios check-backup --output mvt-output decrypted

Och som sista steg så laddar vi hem Pegasus IOC:er och kollar dessa mot mvt-output katalogen:

$ wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2
$ mvt-ios check-iocs --iocs pegasus.stix2 mvt-output

Och om du ser något annat än en rad som börjar med INFO bör vidare undersökningar genomföras.

MVT pegasus malware scan

Efter detta rekommenderar jag att kontroller med andra verktyg såsom Loki, på följande sätt:

$ docker run -it --rm -v loki_signatures:/app/signature-base -v /Users/kalle/mvt-output/:/scan mablanco/loki --force --printall --intense --debug -p /scan

Även finns det mer IOC:er att kontrollera mot, bl.a här. Observera att denna metod först och främst kontollerar om mobiltelefonen kommunicerat med några av de kända ändpunkterna. Huruvida sårbarheten/sårbarheterna lyckats eller ej är svårare att avgöra med denna metodik.

Uppdatering: Erik från Netresec tipsade om denna enkla metod som kan användas. Obs denna kan ge en hel del false positives:

Bild av Sora Shimazaki från Pexels

Apple börjar söka igenom mobiltelefoner

Uppdatering: Det verkar som att även macOS omfattas av denna genomsökning och inte enbart mobiltelefoner. Även så har det nu skapats ett öppet brev till Apple som går att skriva under.

Apple kommer att från och med iOS 15 samt iPadOS 15 att söka igenom iCloud-bilder efter specifika signaturer. Detta kommer att göras direkt från enheten genom att en databas laddas upp med CSAM-hashar. CSAM står för Child Sexual Abuse Material och är således ett system för att söka igenom barnporr.

Systemet ser ut enligt följande på en övergripande nivå:

Algoritmen för att skapa hashar heter NeuralHash och medger att Apple kan få larm om eventuella matchningar. Men det är förenat med ett stort intrång i integriteten eftersom nu genomsöks en del i det som går under benämningen end-to-end kryptering. I framtiden kanske även andra appar genomsöks såsom Signal, Wire och Telegram. Om användaren inte använder sig av iCloud kommer ingen genomsökning att genomföras.

Apple har dock uppgett tidigare att de genomsöker bilder som ”laddas upp” samt så gör både Google och Facebook genomsökning av bilder sedan tidigare. Även så ändrade Apple användarvillkoren redan 2019 att inkludera en text om att uppladdat material ska genomsökas:

We may also use your personal information for account and network security purposes, including in order to protect our services for the benefit of all our users, and pre-screening or scanning uploaded content for potentially illegal content, including child sexual exploitation material.

Och den gången pratades det om ett system vid namn PhotoDNA som är utvecklat av Microsoft.

En annan nyhet som också Apple har gått ut med är att barn under 13 år som får ett meddelande via iMessage som innehåller naket innehåll så kommer föräldrar att erhålla en varning samt att bilden kommer automatiskt att bli blurrad. Detta har dock troligtvis inget med CSAM att göra.

I denna pdf kan du läsa mer om hur CSAM fungerar: CSAM_Detection_Technical_Summary.pdf

Nya zeroday-priser från Zerodium

Jag skrev detta inlägg på LinkedIn men tänkte dela med mig av denna information även här:

Zeroday-förmedlaren Zerodium har uppdaterat sin prislista. Intressant är att priserna kopplade till Android ökat samt Apple iOS minskat. Vad beror detta på? 🤔

Några av mina gissningar:

✅ Googles arbete med att höja säkerheten i Android har gett utdelning

✅ Större efterfrågan från Zerodiums kunder som vill ta sig in i Android-telefoner

✅ Fler typer av uppkopplade enheter använder Android. Inte bara mobiltelefoner

✅ Det finns redan många iOS-exploits på svarta marknaden

Vad tror du?

Zerodium zero-day priser

Säkerheten i nya macOS Mojave

Igår så släpptes Apples nya operativsystem macOS Mojave. Förutom att flertalet iOS applikationer nu går att köra på macOS så finns det även ett mörkt tema. Men vad som är ännu mer intressant är så klart alla säkerhetsproblem som åtgärdas i macOS Mojave (version 10.14).

✅ Stöd gärna Kryptera.se via Patreon >

Vad som också är intressant och integritetsfrämjande är att Mojave nu kräver att applikationer behöver tillstånd av användaren för att använda bl.a. mikrofon, kamera och backup. Samt så meddelande även Apple följande under WWDC2018 i Juni:

Apple is introducing enhanced runtime protections that will extend System Integrity Protection features to third-party apps, protecting them from code injection and other tampering.

Samt en ny process för att granska program som går in i macOS App Store som heter ”notarized”.

Följande säkerhetsproblem åtgärdas i Mojave:

  • An attacker in a privileged network position may be able to
    intercept Bluetooth traffic
  • A malicious application may be able to determine the Apple ID
    of the owner of the computer
  • A sandboxed process may be able to circumvent sandbox
    restrictions
  • A malicious application may be able to access local users
    AppleIDs
  • An application may be able to read restricted memory in Crash Reporter
  • An application may be able to execute arbitrary code with
    kernel privileges
  • An attacker may be able to exploit weaknesses in the RC4
    cryptographic algorithm

Även om Mojave höjer säkerheten så har redan Patrick Wardle påvisat hur man kan ta sig förbi det nya integritetsskyddet:

Apple inför USB Restricted Mode på iOS-enheter

Apple kommer snart att genomföra en intressant säkerhetshöjande åtgärd. Denna nya åtgärd kallas för USB Restricted Mode och innebär att ingen datakommunikation tillåts via lightning-kontakten om kontakten inte varit upplåst inom 7 dagar. Med upplåst menas att en PIN-kod skrivits in på iPhonen eller iPaden. Att ladda mobiltelefonen kommer fortfarande att fungera.

Stöd Kryptera.se via Patreon. Från 1$/månad ➜ 

De som körde 11.3 beta av iOS hade denna funktion och därför antogs det att den skulle komma i iOS version 11.4 som släpptes förra veckan, men så blev det inte. Istället kommer funktionen att komma i 11.4.1 som är nästa version (oklart när denna släpps?).

Anledningen till att denna funktion kommer att införas är för att försvåra för forensiska verktyg som säljs av företag såsom Cellebrite och GrayShift. När Elcomsoft genomförde tester så gick det inte att utläsa något via lightning-anslutningen så fort USB Restricted Mode blev aktivt.

Givetvis finns det sätt att ta sig förbi även detta. Såsom att du kan återansluta mobiltelefonen till en betrodd enhet om och om igen och då få längre tid på dig att försöka ta dig in i telefonen.

Skärmdump som visar på USB-låst iPhone:

Inställning som indikerar på att det även går att förkorta tiden ner till 1h, se inställningen längst ner:

 Säkerhetsåtgärder i macOS High Sierra 10.13

Idag släpptes en ny version av Apples operativsystem vid namn macOS High Sierra 10.13. Denna nya uppdatering innehåller flertalet säkerhetsuppdateringar som åtgärdar minst 22 olika sårbarheter.

Några exempel på intressanta brister som åtgärdas:

  • Ett återkallat certifikat kan vara bli betrott
  • Avsändaren av ett E-postmeddelande kan ta redan på mottagarens IP-adress om denne använder Apple Mail
  • Cure53 har identifierat 9 sårbarheter i ntp

Även så inkluderar High Sierra ett verktyg vid namn eficheck som körs veckovis för att kontrollera att ingen firmware har blivit modifierad i din Apple-dator.

Delar av macOS där säkerhetsbrister återfinnes är bl.a:

  • Application Firewall
  • AppSandbox
  • Captive Network Assistant
  • CFNetwork Proxies
  • CoreAudio
  • Directory Utility
  • file
  • Heimdal
  • IOFireWireFamily
  • Kernel
  • libc
  • libexpat
  • Mail

En intressant sårbarhet som återfinnes i denna uppdatering men som ännu ej åtgärdats är en typ av keychainStealer som före detta NSA-medarbetaren Patrick Wardle identifierat.

Denna sårbarhet medger att en app kan stjäla all data som lagras i din nyckelring (keychain):

https://twitter.com/patrickwardle/status/912254053849079808

Ny trådlös attack som använder Bluetooth: BlueBorne

BlueBorne är samlingsnamnet på en ny uppsjö av säkerhetsbuggar som identifierats i den trådlösa standarden Bluetooth och kan potentiellt drabba 5.3 miljarder enheter världen över.

Säkerhetsbuggarna har identifierats av företaget Armis som jobbar just med IoT-säkerhet. Att säkerhetsbuggarna kan drabba så pass många enheter beror på att flertalet sårbarheter har identifierats i många av de mjukvaror som implementerar Bluetooth-standarden.

Följande sårbarheter har identifierats i plattformarna Android, Windows, Linux och iOS:

  • Linux kernel RCE vulnerability – CVE-2017-1000251
  • Linux Bluetooth stack (BlueZ) information leak vulnerability – CVE-2017-1000250
  • Android information leak vulnerability – CVE-2017-0785
  • Android RCE vulnerabilities CVE-2017-0781 & CVE-2017-0782
  • The Bluetooth Pineapple in Android – Logical Flaw CVE-2017-0783
  • The Bluetooth Pineapple in Windows – Logical Flaw CVE-2017-8628
  • Apple Low Energy Audio Protocol RCE vulnerability – CVE-2017-14315

Den enhet som attackeras behöver inte ställas i synligt-läge och några behörigheter behöver inte användas för att nyttja någon av ovan attacker enligt Armis.

Demonstration av attacken finner du här:

Här kan du ladda hem ett tekniskt papper i PDF-format:

Inbyggd lösenordshanterare i nya Apple iOS 11

Det nya operativsystemet till Apples mobiltelefoner iPhone och iPads som heter iOS 11 kommer att skeppas med en inbyggd lösenordshanterare. Denna lösenordshanterare kommer att fungera med webbsidor samt appar där du skriver in ett lösenord. Tidigare har det funnits möjlighet att spara lösenord via Safari och webbsidor i iOS.

Just nu är iOS ute i en beta-version men kommer i en skarp version om några veckor. Du kan även välja att skydda dina lösenord med fingeravtryck.

Denna skärmdump visar på hur inloggningsrutan i Facebook-appen ser ut i iOS 11 med val för lösenord direkt ovanför tangentbordet:

Tyvärr så hjälper denna inbyggda lösenordshanterare inte användare att skapa bättre lösenord ännu, dvs det finns ingen inbyggd generator. Även om funktionaliteten är basal så spår jag att företag såsom 1Password kommer att få svårare att sälja sina relativt dyrbara produkter.

Apple startar ett bug-bounty program 💰

Äntligen! Det är inte en dag för tidigt att Apple nu äntligen startar upp ett bug-bounty program som betalar ut belöning till den som identifierar och rapporterar säkerhetsrelaterade sårbarheter.

Nästan alla företag och organisationer som tar säkerhet på allvar har någon form av belöning för den som rapporterar in sårbarheter (här kan du läsa om hur jag hittade en sårbarhet på Facebook).

Apple kommer att betala ut summor upp till 1.7 miljoner SEK (200,000$) vilket förhoppningsvis bidrar till att minska eventuella zero-days på svarta marknaden.

Utbetalningarna varierar enligt följande:

  • Sårbarheter i secure boot firmware komponenter: Upp till 1,7m SEK
  • Sårbarheter som möjliggör att data kan extraheras från Secure Enclave: Upp till 850k SEK
  • Exekvering av kod i kernel: Upp till 450k sek
  • Tillgång till iCloud data på Apples servrar: Upp till 450k SEK
  • Process i sandlåda som får tillgång till data utanför sandlådan: Upp till 200k SEK

Även så kräver Apple att det ska finnas Proof-of-concept kod samt att denna kod ska fungera på senaste Apple-hårdvaran samt senaste versionen av iOS.

Och en annan intressant twist är att Apple kommer att dubbla utbetalningen om den som får en säkerhetsbugg bekräftad, väljer att donera till välgörande ändamål.

Apple släpper säkerhetsuppdateringar 🔒

AppleIgår så släppte Apple en stor mängd med säkerhetsuppdateringar. Vissa av dessa uppdateringar åtgärder sårbarheter som innebär att en antagonist kan exekvera kod över nätverket, eller ”An attacker in a privileged network position” som Apple skriver.

Även en mängd lokala attacker såsom utbrytning ur Apples sandlåda.

Nätverksattackerna gäller:

  • Captive Network Assistant – Exekvera kod
  • CFNetwork Proxies – Dataläckage
  • MapKit – Dataläckage

Uppdateringarna gäller följande operativsystem och applikationer:

  • tvOS 9.2.1 for Apple TV (4th generation)
  • iOS 9.3.2 for iPhone 4s and later, iPod touch (5th generation) and later, and iPad 2 and later
  • watchOS 2.2.1 for Apple Watch Sport, Apple Watch, Apple Watch Edition, and Apple Watch Hermes
  • OS X El Capitan v10.11.5 and Security Update 2016-003 for OS X El Capitan v10.11and later
  • Safari 9.1.1 for OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, and OS X El Capitan v10.11.5
  • iTunes 12.4 for Windows 7 and later