- ระหว่างการตรวจสอบ iPhone ของพนักงานในองค์กรภาคประชาสังคมนานาชาติที่ตั้งอยู่ในวอชิงตัน ดี.ซี. พบช่องโหว่ที่ถูกโจมตีอยู่จริงซึ่งใช้ส่ง สปายแวร์ Pegasus ของ NSO Group
- เชน exploit นี้ ซึ่ง Citizen Lab เรียกว่า BLASTPASS สามารถเจาะ iPhone ที่ใช้ iOS 16.6 รุ่นล่าสุดได้โดยไม่ต้องให้เหยื่อดำเนินการใด ๆ
- ผู้โจมตีพยายามติดตั้งแบบ zero-click ด้วยการส่ง ไฟล์แนบ PassKit ที่มีรูปภาพอันตราย ผ่าน iMessage และ Citizen Lab ระบุว่าจะมีการวิเคราะห์เพิ่มเติม
- Citizen Lab แชร์ข้อมูลที่ค้นพบให้ Apple ทราบทันที และ Apple ได้ออกหมายเลขช่องโหว่ที่เกี่ยวข้องเป็น CVE-2023-41064 และ CVE-2023-41061
- อัปเดตของ Apple ครอบคลุม iPhone, iPad, Mac และ Apple Watch ขณะที่ Citizen Lab และทีม Apple Security Engineering and Architecture เห็นว่า Lockdown Mode สามารถบล็อกการโจมตีนี้ได้
เชน exploit BLASTPASS
- Citizen Lab พบช่องโหว่ zero-click ที่ถูกใช้งานจริงระหว่างตรวจสอบอุปกรณ์ของพนักงานใน องค์กรภาคประชาสังคม ซึ่งตั้งอยู่ในวอชิงตัน ดี.ซี. และมีสำนักงานนานาชาติ
- ช่องโหว่นี้ถูกใช้เพื่อส่ง สปายแวร์รับจ้าง Pegasus ของ NSO Group
- Citizen Lab ตั้งชื่อเชน exploit นี้ว่า BLASTPASS
- BLASTPASS สามารถเจาะ iPhone ที่รัน iOS 16.6 รุ่นล่าสุดได้โดยไม่ต้องมีปฏิสัมพันธ์จากเหยื่อ
- การโจมตีทำโดยส่ง ไฟล์แนบ PassKit จากบัญชี iMessage ของผู้โจมตีไปยังเหยื่อ
- ในไฟล์แนบมีรูปภาพอันตราย
- ดูเอกสารที่เกี่ยวข้องได้ที่ PassKit
- Citizen Lab ระบุว่าจะเผยแพร่การอภิปรายรายละเอียดเพิ่มเติมเกี่ยวกับเชน exploit นี้ในอนาคต
การเปิดเผยต่อ Apple และ CVE
- Citizen Lab แชร์ข้อมูลที่ค้นพบให้ Apple ทราบทันที และให้ความร่วมมือในการสืบสวนของ Apple
- Apple ออก CVE สองรายการที่เกี่ยวข้องกับเชน exploit นี้
-
CVE-2023-41064
- CVE-2023-41061
-
อัปเดตทันทีและ Lockdown Mode
- Citizen Lab แนะนำให้ผู้ใช้ทุกคนอัปเดตอุปกรณ์ทันที
- Apple ได้ออกอัปเดตสำหรับผลิตภัณฑ์ Apple โดยครอบคลุม iPhone, iPad, Mac และ Apple Watch
- ผู้ใช้ที่อาจมีความเสี่ยงสูงกว่าเนื่องจากสถานะหรืองานที่ทำ ได้รับคำแนะนำให้เปิดใช้ Lockdown Mode
- Citizen Lab และทีม Apple Security Engineering and Architecture เห็นว่า Lockdown Mode สามารถบล็อกการโจมตีเฉพาะนี้ได้
- Citizen Lab ประเมินการตอบสนองด้านการสืบสวนที่รวดเร็วและรอบการออกแพตช์ของ Apple ในเชิงบวก พร้อมยอมรับความร่วมมือและการสนับสนุนจากเหยื่อและองค์กรต้นสังกัด
สัญญาณด้านความปลอดภัยจากการมุ่งเป้าภาคประชาสังคม
- การค้นพบครั้งนี้แสดงให้เห็นอีกครั้งว่าภาคประชาสังคมตกเป็นเป้าของ exploit ขั้นสูง และสปายแวร์รับจ้าง
- อัปเดตของ Apple จะช่วยปกป้องอุปกรณ์ของผู้ใช้ทั่วไป บริษัท และรัฐบาลทั่วโลก
- การค้นพบ BLASTPASS ตอกย้ำว่างานสนับสนุนองค์กรภาคประชาสังคมมีคุณค่าสูงต่อความมั่นคงปลอดภัยไซเบอร์โดยรวม
บันทึกการอัปเดต
- โพสต์นี้ได้รับการอัปเดตเมื่อวันที่ 7 กันยายน เวลา 17:42 น. ตามเวลาตะวันออก
- การอัปเดตสะท้อนข้อมูลที่ว่า ทีม Apple Security Engineering and Architecture และ Citizen Lab เห็นว่า Lockdown Mode สามารถบล็อกการโจมตีเฉพาะนี้ได้
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
มีคนพูดถึง Apple และซอฟต์แวร์กันเยอะ แต่มีการพูดถึงน้อยเกินไปว่าทำไม NSO Group ถึงยังดำรงอยู่ได้
พวกเขาดูเหมือนทำงานกันแทบจะเปิดเผย และไม่ได้รู้สึกอับอายอะไรเลย ไม่อย่างนั้นคงไม่เอาสิ่งนี้ไปใส่ในเรซูเม่: https://www.linkedin.com/company/nso-group/people/
พอเห็นแบบนี้แล้วรู้สึกว่า “ชุมชนเทคโนโลยี” ยอมรับการใช้เทคโนโลยีแบบนี้ง่ายเกินไป เทคโนโลยีแบบเดียวกับที่เราเชื่อว่าจะ “ทำให้โลกดีขึ้น” นั่นแหละ
NSO ดูเหมือนจะได้รับการสนับสนุนจาก รัฐบาลอิสราเอล พวกเขาบอกว่าขายให้เฉพาะรัฐบาลที่ผ่านการคัดกรองล่วงหน้าเท่านั้น แต่ในความเป็นจริงมักขายให้รัฐเผด็จการที่สอดส่องและกดขี่ผู้ที่ต่อต้านระบอบ
เหตุผลที่ NSO Group แย่คือมีข้อกล่าวหาว่าขายให้ระบอบกดขี่ และให้การสนับสนุนอย่างแข็งขันในการปรับใช้ซอฟต์แวร์เพื่อให้ระบอบเหล่านั้นทำร้ายพลเรือนผู้บริสุทธิ์ได้ ด้วยการกระทำและเจตนาแบบนี้ รวมถึงความล้มเหลวในการจัดการความรับผิดชอบ จึงควรถูกคว่ำบาตร และเท่าที่จำได้ตอนนี้ก็ถูกคว่ำบาตรอยู่แล้ว
อย่างไรก็ตามมีข้อยกเว้นมากมาย เช่น ผู้ขายและผู้ซื้อต้องมีเจตนาดี และมีแผนจะใช้ให้ถูกกฎหมายเท่านั้น นี่ไม่ใช่คำแนะนำทางกฎหมาย
ไม่มีเหตุผลให้คาดหวังว่าโลกจะปลดอาวุธกันในเร็วๆ นี้ ดังนั้นสิ่งที่ดีที่สุดคือรับรู้เรื่องนี้ ใช้อิทธิพลต่อกำหนดนโยบายอย่างเป็นประชาธิปไตย และกำจัดแนวคิดแย่ๆ กับผู้เล่นที่แย่ออกไป
อิสราเอลพยายามดึงซาอุดีอาระเบียเข้ามาอย่างต่อเนื่องเพื่อสร้างพันธมิตรในสงครามที่อาจเกิดขึ้นกับอิหร่าน หากเพื่อให้ได้สิทธิผ่านน่านฟ้าซาอุดีฯ ก็แน่นอนว่าพวกเขาคงยอมสังเวย นักสิทธิมนุษยชนไม่กี่คน ได้ แต่ช่วงหลังดูเหมือนอะไรๆ จะไม่ค่อยเป็นใจให้อิสราเอลนัก
แต่จริงๆ แล้วชุมชนเทคโนโลยีมีความหลากหลายมากและไม่ได้เหนียวแน่นเลย ตัวอย่างเช่น นักพัฒนาจำนวนมากแค่พอหาเงินจ่ายค่าครองชีพพื้นฐานได้เท่านั้น จนไม่มีพื้นที่ทางใจเหลือพอจะรู้ด้วยซ้ำว่า NSO คืออะไร
สิ่งที่น่าสนใจคือ Lockdown Mode ถูกเน้นย้ำเป็นพิเศษว่าไม่ควรใช้ เว้นแต่คุณจะเป็นนักข่าวหรือเป็นคนที่ตกอยู่ในอันตรายโดยตรงและชัดเจน ทั้งที่จริงๆ แล้วจากมุมผู้ใช้ ความแตกต่างด้านฟีเจอร์ไม่ได้มากนัก และเป็นแค่การปิดสิ่งไม่จำเป็นหลายอย่างของ Apple ที่ทำงานอยู่เบื้องหลังและเพิ่มพื้นผิวการโจมตี
แต่ทุกคนก็ยังพูดตามข้อแม้ทำนองว่า “ไม่ใช่ใครก็ใช้ได้ ต้องเป็นคนพิเศษเท่านั้น” ทั้งที่มันไม่ใช่ทรัพยากรหายากและไม่ใช่เกมผลรวมศูนย์ด้วยซ้ำ กลับกัน ถ้าทุกคนใช้ ก็จะปิดฟีเจอร์จำนวนมากที่ไม่ได้ให้ประโยชน์กับผู้ใช้ ประหยัดแบตเตอรี่ได้ด้วย และยิ่งมีคนใช้มาก ก็ยิ่งนำไปใช้ระบุตัวผู้ใช้บางคนได้ยากขึ้น
Apple คงอยากหลีกเลี่ยงไม่ให้ iOS รู้สึกช้าหรือหน่วงกว่า Android อีกอย่างสปายแวร์ zero-day มักเล็งเป้าบุคคลสำคัญมากกว่าการสอดส่องวงกว้าง ดังนั้นความเสี่ยงจริงสำหรับคนทั่วไปจึงค่อนข้างเล็ก
ถ้ามีโหมดประนีประนอมระหว่างสองโหมดนี้ก็น่าจะดี เช่น ให้ลดระดับความปลอดภัยได้สักไม่กี่นาทีเมื่อจำเป็นต้องใช้ฟีเจอร์บางอย่าง ตัวอย่างเช่น ถ้า Safari ตรวจพบว่า JavaScript ช้า ก็ถามว่าจะเปิด JIT กลับไหม
ในมุมการเมืองจริง อาจเป็นไปได้ว่าระบอบกดขี่ต่างๆ ยอมให้ Apple วางจำหน่ายอุปกรณ์ที่มีฟีเจอร์นี้ โดยมีเงื่อนไขว่าอย่าโปรโมตอย่างจริงจังหรือทำให้เป็นค่าเริ่มต้น ถ้าในจีน Lockdown Mode ถูกเปิดเป็นค่าเริ่มต้นและคนส่วนใหญ่ใช้ Apple คงถูกไล่ออกจากจีนอย่างรวดเร็ว
ในคอนเทนต์เว็บก็ไม่รู้สึกถึงความต่าง อาจเพราะใช้ Firefox/Chrome แทน Safari สิ่งที่อยากได้จริงๆ คือทางเลือก เช่น บน iOS ผมใช้ shared photo albums ก็อยากให้คงฟีเจอร์นั้นไว้ แล้วปิดเฉพาะฟีเจอร์อื่นๆ ได้
อย่างแรก Continuity ดูเหมือนแทบจะพัง และเป็นฟีเจอร์ที่ส่วนตัวพึ่งพาค่อนข้างมาก AirPlay ก็เอาแน่เอานอนไม่ค่อยได้ด้วย
ทั้งหมดอาจเป็นปัญหาเครือข่ายก็ได้ แต่เกิดขึ้นเฉพาะหลังจากเปลี่ยนมาใช้ Lockdown Mode อีกอย่าง การที่คำขอ Screen Time ใช้ไม่ได้ก็ค่อนข้างไม่สะดวก
iMessage เคยมีช่องโหว่มากี่ตัวแล้วจนถึงตอนนี้?
ถึงเวลาหรือยังที่ข้อความแรกจากผู้ติดต่อใหม่ควรอนุญาตเฉพาะ ข้อความล้วน เท่านั้น และข้อความอื่น ๆ ก็ควรอนุญาตแค่ชุดย่อยที่จำกัดมาก ๆ แทนระบบส่วนขยายสุดบ้าคลั่งที่แทบไม่ต่างจาก ActiveX
แถมยังควรพิจารณาให้ทั้งแอปรันในแซนด์บ็อกซ์ และประมวลผลทั้งหมดผ่านเว็บวิวเป็นชั้นป้องกันเพิ่มเติมด้วย
iMessage ก็ควรทำแบบเดียวกันด้วยเหตุผลเดียวกันเป๊ะ ๆ น่าหงุดหงิดที่เห็น ผู้จัดการผลิตภัณฑ์ผู้ละโมบ ที่ทำงานอยู่ในอาคารเดียวกันต้องมาเรียนบทเรียนที่คนรุ่นก่อนเรียนรู้มาอย่างเจ็บปวดกันใหม่
คำตอบไม่ควรเป็น “งั้นก็อย่าเรนเดอร์รูปภาพ” ควรเชื่อถือได้ว่าคอมโพเนนต์ที่พาร์สข้อมูลภายนอกอย่างรูปภาพ จะไม่สามารถทำพฤติกรรมมุ่งร้ายได้ไม่ว่าอินพุตจะเป็นอะไร
ถ้าต้องใช้แซนด์บ็อกซ์ก็ทำไป และถ้าต้องเขียนตัวพาร์สรูปภาพทั้งหมดใหม่ตั้งแต่ต้นด้วยภาษาที่ปลอดภัย หรือพิสูจน์ความถูกต้องอย่างเป็นทางการ ก็ทำไป Apple มีเงินมากพอจะทำโครงการอวกาศของตัวเองได้สิบรอบ ดังนั้นก็น่าจะสร้าง ไลบรารีรูปภาพที่พิสูจน์ได้ ได้เช่นกัน
ส่วน iMessage มีเอ็กซ์พลอยต์เพียงหยิบมือ และถูกที่อย่าง NSO ไลเซนส์ขายในราคาสูงลิบให้กับ ผู้กระทำการระดับรัฐ ที่เลวร้ายจำนวนน้อยมาก เพื่อใช้ในการโจมตีเป้าหมายความเสี่ยงสูงอย่างยิ่ง
เจอแล้ว สำหรับคนที่สนใจ: บน iPhone ให้ไปที่ Settings แตะ Messages แล้วตั้ง iMessage เป็น Off
อีกแล้วเหรอ บัฟเฟอร์โอเวอร์โฟลว์ในการถอดรหัสรูปภาพ ฟังดูคล้ายช่องโหว่ปี 2021 [1]
ตอนนั้นแรงจริง ๆ เขาสร้าง CPU จากโอเปอเรชันดิบที่ได้จากรูปแบบการบีบอัดรูปภาพแปลก ๆ ที่ฝังอยู่ใน PDF เพื่อทำการคำนวณมากพอให้ยกระดับต่อไปเป็นการรันโค้ดตามอำเภอใจได้
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
อย่าเข้าใจผิดนะ ผมคิดว่า JPEG-XL เป็นไอเดียที่ดี แต่สำหรับคนที่บอกว่า “รองรับฟอร์แมตรูปภาพเพิ่มอีกอันจะเสียหายอะไร” นี่แหละคือคำตอบ
แพตช์นี้ออกมาวันนี้ และดูเหมือนตั้งใจให้ตรงกับเวลาประกาศ ดังนั้นควรตรวจสอบว่าทั้งตัวคุณและคนรอบตัวอัปเดตแล้วหรือยัง
https://support.apple.com/en-us/HT201222
เท่าที่รู้ โค้ดพาร์สทั้งหมดของ iMessage ควรต้องรันอยู่ใน แซนด์บ็อกซ์ BlastDoor หรือว่านี่มีช่องโหว่ในเชนตัวอื่นที่ยังไม่เปิดเผย?
แค่เอา NSO Group ใส่บัญชีดำของกระทรวงพาณิชย์เห็นได้ชัดว่ายังไม่พอ ไอ้พวกขยะพวกนี้อย่างน้อยก็ในเชิงเปรียบเปรยควรถูกส่งไป กรุงเฮก
ถ้าสนใจ NSO Group, Pegasus และ Citizen Lab พอดแคสต์ Darknet Diaries ตอนที่ 100 สรุปประวัติได้ดี
ลิงก์สำหรับคนที่สนใจ: https://darknetdiaries.com/episode/100/
ต้องมี Lockdown Mode ที่ปรับละเอียดได้กว่านี้ เช่น ปิดระบบอัตโนมัติและองค์ประกอบเสี่ยงของ iMessage กับ Safari แต่ยังให้อุปกรณ์เสริมของเครื่องทำงานต่อได้
การต้องเสีย อุปกรณ์เสริมบลูทูธ ไปเพียงเพื่อป้องกันตัวเองจากเอ็กซ์พลอยต์ zero-click ของ iMessage ไม่ใช่เรื่องดี iMessage คือพื้นผิวโจมตีที่เปิดกว้างที่สุด
ตัวอย่างเช่น Settings > Messages > iMessage เป็นสวิตช์ที่ปิดได้ถ้ารู้สึกว่า iMessage เป็นปัญหา
ใน Settings > Safari > Privacy and security ก็มีหลายตัวเลือกสำหรับตั้งค่าการล็อก Safari ให้ละเอียดขึ้น
สงสัยว่า Lockdown Mode จะป้องกันการโจมตีนี้ได้หรือไม่
จนถึงตอนนี้เคยมี iPhone ที่อยู่ในสถานะ Lockdown Mode ถูกแฮ็กด้วยช่องโหว่ซีโรเดย์หรือเปล่า? ไม่นับกรณีที่หลอกผู้ใช้ให้ติดตั้งโปรแกรมอันตราย
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
ลิงก์ CL: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
เธรดที่เกี่ยวข้องซึ่งกำลังดำเนินอยู่:
iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - กันยายน 2023, ความคิดเห็น 7 รายการ