Các lỗ hổng 0-day bị một công ty giám sát thương mại ở Ai Cập khai thác

 (blog.google)
1 điểm bởi GN⁺ 2023-09-23 | 1 bình luận | Chia sẻ qua WhatsApp
  • Threat Analysis Group (TAG) của Google và The Citizen Lab đã phát hiện một chuỗi tấn công 0-day trên iPhone do công ty giám sát thương mại Intellexa phát triển.
  • Chuỗi tấn công này được dùng để cài đặt phần mềm gián điệp Predator của Intellexa lên thiết bị mà người dùng không hề hay biết.
  • Apple đã vá các lỗi CVE-2023-41991, CVE-2023-41992, CVE-2023-41993 trong iOS 16.7 và iOS 17.0.1, đồng thời khuyến nghị mọi người dùng iOS cài đặt bản vá này càng sớm càng tốt.
  • Chuỗi tấn công được triển khai thông qua một cuộc tấn công "man-in-the-middle" (MITM), trong đó kẻ tấn công chặn lưu lượng web của mục tiêu và chuyển hướng sang một trang web khác.
  • Chuỗi tấn công trên iOS bao gồm ba lỗ hổng: thực thi mã từ xa ban đầu trong Safari, vượt qua PAC, và leo thang đặc quyền cục bộ trong nhân XNU.
  • Kẻ tấn công cũng có một chuỗi tấn công để cài đặt Predator lên các thiết bị Android ở Ai Cập thông qua chèn MITM và các liên kết dùng một lần được gửi trực tiếp cho mục tiêu.
  • Chrome đang thúc đẩy việc phổ cập HTTPS trên toàn web để phòng thủ trước các cuộc tấn công MITM, và có "HTTPS-First Mode" nhằm cố gắng tải mọi trang bằng HTTPS.
  • Chiến dịch này là một ví dụ về mức độ nguy hiểm của các công ty giám sát thương mại và tác động của họ đối với sự an toàn của người dùng trực tuyến.
  • TAG có kế hoạch tiếp tục hành động đối với ngành công nghiệp phần mềm gián điệp thương mại, công bố các nghiên cứu liên quan, và hợp tác với khu vực công lẫn tư để thúc đẩy công việc này.
  • The Citizen Lab được ghi nhận nhờ sự hợp tác và quan hệ đối tác trong việc phát hiện và phân tích các cuộc tấn công này, còn Apple được cảm ơn vì đã kịp thời triển khai bản vá để bảo vệ sự an toàn của người dùng trực tuyến.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-09-23
Ý kiến trên Hacker News
  • Bài viết nói về việc một công ty giám sát thương mại ở Ai Cập đã khai thác lỗ hổng 0-day.
  • Có ý kiến đặt câu hỏi về bản chất của việc thoát sandbox trên Android và bày tỏ lo ngại về bản vá của Chrome.
  • Chiến dịch nhắm mục tiêu này sử dụng vectơ tấn công gồm chặn bắt HTTP và các liên kết dùng một lần, nhưng cũng có lo ngại rằng nó có thể được sử dụng rộng rãi để xây dựng botnet thông qua các chiến dịch quảng cáo hoặc spam, hoặc để đánh cắp thông tin xác thực người dùng.
  • Cuộc tấn công dùng HTTP để tiêm payload ban đầu, nhưng có ý kiến cho rằng các tác nhân được nhà nước hậu thuẫn có thể chiếm quyền kiểm soát hạ tầng CA hoặc CDN.
  • Có người đặt câu hỏi vì sao các gã khổng lồ công nghệ như Google và Apple không tuyển dụng nhân viên từ các công ty spyware và các hãng chuyên về 0-day để tìm ra những lỗ hổng này.
  • Có nghi ngờ rằng lỗ hổng này đã được nhà chức trách Ai Cập sử dụng để hack điện thoại của Ahmed El Tantawy, một ứng cử viên tổng thống.
  • Một số người dùng cho biết họ đang tự bảo vệ mình bằng cách cài đặt các bản cập nhật và sử dụng chế độ HTTPS-Only.
  • Có suy đoán rằng Google có thể đã công khai các domain mà công ty đó sử dụng, và điều này có thể dẫn đến hành vi tự xử.
  • Có nhắc đến việc chế độ Lockdown trên iOS đã chặn được chuỗi tấn công này.
  • Có người đặt câu hỏi liệu cuộc tấn công này còn hoạt động hay không nếu JavaScript bị tắt theo mặc định.