新的零点击漏洞利用NSO间谍软件来攻击巴林激进分子的 iPhone

Citizen Lab 发现了一个新的零点击 iMessage 漏洞，该漏洞用于在巴林激进分子的设备上部署以色列监控公司NSO的知名间谍软件Pegasus。

包括巴林人权中心成员、Waad和 Al Wefaq在内的 9 名激进分子的 iPhone 感染了 Pegasus 间谍软件，作为监视行动的一部分。

专家指出，感染发生在 2020 年 6 月至 2021 年 2 月之间，其中两名被黑客入侵的活动家现在居住在伦敦，当他的设备被黑客入侵时，至少有一名在伦敦。这是巴林政府对欧洲激进分子使用的设备进行的首次记录在案的黑客攻击。

“我们确定了 9 名巴林活动家，他们的 iPhone 在 2020 年 6 月至 2021 年 2 月期间被 NSO Group 的 Pegasus 间谍软件成功入侵。其中一些活动家被使用两个零点击 iMessage 漏洞攻击：  2020  KISMET 漏洞 和我们称为FORCEDENTRY的 2021 漏洞 。” 

攻击者利用两个零点击 iMessage 漏洞利用间谍软件感染 iPhone，分别称为 2020  KISMET 漏洞利用 和称为FORCEDENTRY的新漏洞利用 。

Citizen Lab 的研究人员发现FORCEDENTRY漏洞能够绕过八个月前在 iOS 中引入的“BlastDoor”沙箱，以阻止 iMessage 零点击漏洞。

“电话日志表明，间谍软件的“负责过程”是 amfid，Apple 移动文件完整性守护程序。我们看到 FORCEDENTRY 漏洞作为零日漏洞成功部署在 iOS 14.4 和 14.6 版本上。” 继续报告。“经目标同意，我们 与 Apple, Inc.共享了这些崩溃日志以及一些与KISMET 和 FORCEDENTRY相关的其他电话日志 ，这证实了他们正在调查。”

Citizen Lab 与 Apple 分享了他的发现，这家 IT 巨头可能会通过发布带外紧急 iOS 更新来解决零点击漏洞。

专家建议禁用 iMessage 和 FaceTime 以防止报告中提到的攻击，无论如何，像 NSO 小组开发的强大的间谍软件在他们的武器库中还有许多其他漏洞。

“虽然 NSO 集团经常试图诋毁滥用报告，但他们的客户名单包括许多臭名昭著的监控技术滥用者。考虑到巴林连续滥用监控产品的重要、长期和记录在案的证据，将 Pegasus 出售给巴林尤其令人震惊。 。” 

“我们相信，特定攻击本可以通过禁用 iMessage 和 FaceTime 来阻止。但是，NSO Group 过去曾成功利用其他消息传递应用程序来传播恶意软件，例如 WhatsApp。因此，禁用 iMessage 和 FaceTime 无法提供针对零点击攻击或间谍软件的全面保护。”

本文始发于微信公众号（情报分析师）：新的零点击漏洞利用NSO间谍软件来攻击巴林激进分子的 iPhone