Des vulnérabilités zero-day exploitées par une entreprise de surveillance commerciale en Égypte

 (blog.google)
1 points par GN⁺ 2023-09-23 | 1 commentaires | Partager sur WhatsApp
  • Le Threat Analysis Group (TAG) de Google et The Citizen Lab ont découvert une chaîne d’attaque zero-day visant l’iPhone, développée par Intellexa, une entreprise de surveillance commerciale.
  • Cette chaîne d’attaque est utilisée pour installer le spyware Predator d’Intellexa sur l’appareil à l’insu de l’utilisateur.
  • Apple a corrigé les failles CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993 dans iOS 16.7 et iOS 17.0.1, et recommande à tous les utilisateurs d’iOS d’installer ce correctif dès que possible.
  • La chaîne d’attaque a été diffusée via une "attaque de l’homme du milieu" (MITM), dans laquelle l’attaquant intercepte le trafic web de la cible pour le rediriger vers un autre site.
  • La chaîne d’attaque pour iOS comprend trois vulnérabilités : une exécution de code à distance initiale dans Safari, un contournement de PAC, et une élévation locale de privilèges dans le noyau XNU.
  • Les attaquants disposaient également d’une chaîne d’attaque permettant d’installer Predator sur des appareils Android en Égypte, via une injection MITM et des liens à usage unique envoyés directement aux cibles.
  • Chrome cherche à favoriser l’adoption généralisée de HTTPS sur l’ensemble du web pour se prémunir contre les attaques MITM, et propose un "mode HTTPS-First" qui tente de charger toutes les pages en HTTPS.
  • Cette campagne illustre les risques posés par les entreprises de surveillance commerciale et leur impact sur la sécurité des internautes.
  • TAG prévoit de poursuivre ses actions contre l’industrie des spyware commerciaux, de publier des recherches sur le sujet et de collaborer avec les secteurs public et privé pour faire avancer ce travail.
  • The Citizen Lab a été salué pour sa collaboration et son partenariat dans la détection et l’analyse de ces attaques, et Apple a été remercié pour avoir déployé rapidement des correctifs afin de protéger la sécurité des internautes.

À lire aussi

1 commentaires

 
GN⁺ 2023-09-23
Commentaires Hacker News
  • Article sur le problème posé par l’exploitation de vulnérabilités 0-day par une société égyptienne de surveillance commerciale.
  • Des questions sont soulevées sur la nature de l’évasion de sandbox sur Android, ainsi que des inquiétudes concernant le correctif de Chrome.
  • La campagne ciblée, qui incluait l’interception de HTTP et de liens à usage unique, constituait le vecteur d’attaque, mais certains craignent qu’elle puisse aussi être largement utilisée pour construire des botnets via des campagnes publicitaires ou de spam, ou pour voler des identifiants d’utilisateurs.
  • L’attaque injecte la charge utile initiale via HTTP, mais il est suggéré que des acteurs soutenus par des États pourraient potentiellement prendre le contrôle d’une autorité de certification ou d’une infrastructure CDN.
  • Des questions sont posées sur la raison pour laquelle des géants de la tech comme Google et Apple n’embauchent pas les employés de sociétés de spyware et de vendeurs de 0-day afin de découvrir ce type de vulnérabilités.
  • Il est soupçonné que cette vulnérabilité a été utilisée par les autorités égyptiennes pour pirater le téléphone d’Ahmed El Tantawy, candidat à la présidentielle.
  • Certains utilisateurs prennent des mesures pour se protéger, comme installer les mises à jour et utiliser le mode HTTPS-Only.
  • On suppose que Google a peut-être révélé les domaines utilisés par l’entreprise, ce qui pourrait entraîner des actes d’autojustice.
  • Il est mentionné que le mode Lockdown d’iOS a bloqué cette chaîne d’attaque.
  • Des questions sont posées sur le fait de savoir si cette attaque fonctionnerait encore avec JavaScript désactivé par défaut.