iOS-veiligheidsupdate dicht lek waarlangs Pegasus-spyware binnenkwam
Apple stuurde donderdag een veiligheidsupdate uit voor iOS-apparaten. Met die veiligheidsupdate dicht de iPhonefabrikant twee zero-day veiligheidslekken. Die veiligheidslekken werden actief misbruikt om verschillende overheidsmedewerkers en journalisten te bespioneren met spywareprogramma Pegasus.
Een ‘zero-day’ veiligheidslek is een securityprobleem waarvan de fabrikant niet op de hoogte is. In dit geval ging de bal aan het rollen toen Citizen Lab een veiligheidslek ontdekte. Citizen Lab is een organisatie die zich focust op malware die door overheden gebruikt wordt. In de blogpost zetten ze uiteen hoe ze een zogenaamd ‘zero-click’-veiligheidsrisico vonden. Bij dat type veiligheidsproblemen hoeven hackers niets aan te klikken, zoals een verdachte e-mailbijlage. In plaats daarvan is het mogelijk om, zonder interactie met het apparaat, het toch te infecteren met malware. In dit geval gaat het om malware van de NSO Group, bij het brede publiek beter bekend als ‘Pegasus’.
Pegasus spyware
NSO Goup is een Israëlisch cyberwapenbedrijf dat de spyware ontwikkelt. Met hun Pegasus-malware slagen ze er al sinds 2014 in om allerlei Android- en iOS-apparaten af te luisteren. Een lijst met 50.000 mogelijke doelwitten laat niets aan de verbeelding over: Emmanuel Macron, Robert Malley, de vrouw van de vermoorde journalist Jamal Kashoggi. Naast de Franse president zouden er op de lijst minstens negen andere staatshoofden vernoemd zijn. Met andere woorden: het bereik van van de Pegasus-spyware is gigantisch.
BLASTPASS
Het veiligheidsprobleem dat Citizen Lab kon vinden, wordt ‘BLASTPASS’ genoemd. Het krijgt die naam omdat het veiligheidslek gebruikt maakt van PassKit – een framework waarmee Apple Pay in apps geïntegreerd kan worden.
Meteen na het ontdekken van het lek bracht Citizen Lab Apple op de hoogte. Daar konden ze snel schakelen en dinsdag al een veiligheidsupdate uitsturen voor alle iOS-apparaten. Apple patcht daarbij meteen een tweede veiligheidsprobleem – waarschijnlijk botsten ze hierop tijdens een onderzoek naar de melding van Citizen Lab.
Gedaan met Pegasus?
Of het nu gedaan is met de Pegasus-spyware? Dat zou kunnen, maar lijkt onwaarschijnlijk. Dit is namelijk niet het eerste zero-clickexploit waar Pegasus gebruik van maakte. De kans dat de actoren achter Pegasus een andere weg vinden waarlangs ze apparaten kunnen binnendringen, blijft groot.