A aplicação de mensagens com tecnologia iMessage da Apple, o Mensagens no iPhone, em Portugal, tinha uma vulnerabilidade zero-day usada para espiar jornalistas e responsáveis do canal Al Jazeera. Este ataque ao sistema de mensagens do iOS permitia ler as conversas, ouvir os áudios e ter acesso também ao vídeo.
A vulnerabilidade foi encontrada no iOS 13.5.1 e poderá estar também presente noutras versões anteriores. O iOS 14 já tem a falha corrigida.
Pelo menos 36 jornalistas, produtores, pivôs e executivos da Al Jazeera, assim como um jornalista da Al Araby TV de Londres, tiveram os seus iPhones “hackeados”. Segundo reportou o Citizen Lab, para conseguir este acesso aos smartphones da Apple, os atacantes usaram uma vulnerabilidade de zero-day (dia zero) sem interação do utilizador na aplicação do iOS iMessage (Mensagens).
O Citizen Lab é um grupo de investigação de segurança cibernética e abuso de direitos humanos da Universidade de Toronto. Conforme reportaram, esta vulnerabilidade fazia parte de uma cadeia de exploit chamada Kismet, criada e vendida pelo Grupo NSO, um conhecido fornecedor de spyware e produtos de vigilância.
Os investigadores afirmam que a NSO vendeu a ferramenta de hacking Kismet para pelo menos quatro entidades. Posteriormente, estas usaram o sistema de ataque em julho e agosto de 2020. O alvo foram os iPhones pessoais de 36 jornalistas da Al Jazeera de todo o mundo.
Quem estará por trás destes ataques?
A equipa do Citizen Lab acredita ter identificado dois dos quatro compradores na Arábia Saudita e nos Emirados Árabes Unidos. Segundo referem, por trás estarão dois grupos que a organização tem vigiado, os Monarchy e os Sneaky Kestrel.
Investigações subsequentes descobriram que os ataques ocorriam desde pelo menos outubro de 2019. No momento em que os ataques foram descobertos, a Citizen Lab disse que a ferramenta de exploração Kismet funcionava contra os dispositivos mais recentes da Apple (ou seja, iPhones 11 com iOS 13.5.1).
Assim, logo após a atualização para o iOS 14, esta vulnerabilidade foi resolvida. Desde outubro que o zero-day está parado e não consegue atacar os seus alvos, após um grande conjunto de melhoramentos na segurança.
O grupo de investigação já havia notificado a Apple sobre os ataques. A empresa de Cupertino está a investigar todo o relatório de ocorrências.
Já o grupo apontado como responsável pelo ataque comentou que o relatório de “especulação” carecia de qualquer evidência para ligar o acontecido à NSO.
Fonte: Pplware.