4 июля 2025

eur = 92.68 -0.07 (-0.07 %)

btc = 109 815.00$ 316.89 (0.29 %)

eth = 2 594.92$ -2.78 (-0.11 %)

ton = 2.87$ -0.02 (-0.69 %)

usd = 78.65 0.24 (0.30 %)

eur = 92.68 -0.07 (-0.07 %)

btc = 109 815.00$ 316.89 (0.29 %)

Google объяснила, как шпионское ПО Pegasus удалённо взламывало iPhone

3 минуты на чтение
Google объяснила, как шпионское ПО Pegasus удалённо взламывало iPhone

Специалистам по кибербезопасности Google Project Zero удалось получить доступ к эксплойту ForcedEntry («Принудительный вход»), при помощи которого израильская компания NSO Group получала доступ к данным в iPhone без прямого участия пользователей.

Шпионское ПО израильской компании использовалось для атак на смартфоны журналистов по всему миру
C помощью шпионского ПО израильской компании успешно были взломаны 37 смартфонов, которые принадлежат журналистам по всему миру

О том, что шпионское ПО этой компании успешно в течение нескольких лет следило за пользователями iOS и Android, стало известно в июле 2021 года. Тогда авторы крупного расследования о Pegasus заявляли, что целями шпионского ПО являются журналисты, активисты, предприниматели и чиновники.

Как выяснили специалисты Google Project Zero, эксплойт ForcedEntry является чуть ли не самым сложным в истории, так как содержит более 70 000 сегментных команд. Метод предназначен для взлома iPhone, однако известно, что NSO Group продаёт аналогичные программы и для  Android-устройств.

Атака начинается с обычного сообщения, которое приходит в любой обычный мессенджер, например, iMessage. Чтобы отправить такое сообщение, достаточно знать лишь номер телефона или Apple ID потенциальной жертвы. Сообщение содержит GIF-файл — такого типа файлы поддерживаются iMessage.

Однако для того, чтобы «гифки» могли воспроизводиться циклично, у Apple предусмотрен специальный конвейер обработки, парсер в котором (CoreGraphics) преобразует GIF-файл в новый, а системная библиотека (ImageIO) выполняет проверку его текстового расширения — однако реальный формат не проверяется.

[IMGIFUtils copyGifFromPath:toDestinationPath:error]

Это и позволяет отправить файл, например, PDF, расширение которого изменено на .gif. Почему PDF? Потому что такой формат умеет запускать JavaScript. У Apple была предусмотрена соответствующая защита от выполнения кода с такими поддельными файлами, однако в NSO Group смогли её обойти.

Для этого в PDF-файл добавили изображения в древнем формате JBIG2, который ищет повторяющиеся символы и заменяет их одной картинкой. В процессе декомпрессии исходные данные могли искажаться из-за того, что кодировщик может путать похожие символы.

Google объяснила, как шпионское ПО Pegasus удалённо взламывало iPhone
Сжатие JBIG2

Для этого в формат добавили сжатие без потерь. JBIG2 в результате стал хранить разницу между символами. Для воссоздания первоначального изображения формат начал обращаться к использованию логических операторов по типу AND, OR, XOR и XNOR.

Google объяснила, как шпионское ПО Pegasus удалённо взламывало iPhone
Использование XOR для вычисления исходного изображения

После тщательной обработки контекстно-зависимой части декомпрессора, злоумышленники смогли переполнить часть сегментов, перезаписать указатели, а также получить доступ к логическим операциям и выйти за пределы буфера.

Напомним, как сообщалось в июле 2021 года, при помощи Pegasus успешно были взломаны 37 смартфонов, которые принадлежат журналистам, правительственным чиновникам и правозащитникам по всему миру. Авторы расследования упомянули о списке с номерами телефонов людей, за которыми якобы велась слежка с помощью Pegasus.

Журналисты идентифицировали в нём порядка 1000 человек из более чем 50 стран, в число которых входят несколько членов арабской королевской семьи, 65 крупных бизнесменов, 85 активистов-правозащитников, 189 журналистов и более 600 политиков, в том числе несколько глав государств и премьер-министров.

Также в списке потенциальных целей для слежки с помощью Pegasus был обнаружен и телефонный номер Павла Дурова. Источник, близкий к команде Telegram, тогда рассказал «Коду Дурова», что информация о наличии номера в базе была ещё в 2018 году. Дуров позднее лично подтвердил факт наличия своего телефонного номера в базе NSO Group.

Павел Дуров оказался в списке слежки с помощью Pegasus
Павел Дуров фигурировал в списке потенциальных объектов слежки компании NSO Group с помощью программы Pegasus, об этом сообщает газета Guardian.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
ca1d1d41-bf32-4a72-a70f-7bf94e96bd7f-изображение-03af45dd5-38cf-40b5-92c4-2605804c92d0-изображение-1

GigaChat Max: коротко о главном

Разработчик кошелька Wallet в Telegram привлёк несколько десятков миллионов долларов

Полная версия 
4bee6c9c-f93b-435b-aac9-59ea2e222dea-изображение-0

GigaChat Max: коротко о главном

Центробанк введёт ограничения для карт с истёкшим сроком действия

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 371
Газпромбанк
OTP Bank
Т-Банк
X5 Tech
билайн
Сбер
МТС
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы