Juridische documenten die zijn vrijgegeven als onderdeel van een voortdurende juridische strijd tussen Meta’s WhatsApp en NSO Group hebben onthuld dat de Israëlische spywareleverancier meerdere exploits heeft gebruikt om de berichtenapp te leveren om Pegasus te leveren, waaronder één zelfs nadat Meta hiervoor een rechtszaak had aangespannen.
Ze laten ook zien dat NSO Group herhaaldelijk manieren heeft gevonden om de invasieve surveillancetool op de apparaten van het doelwit te installeren, terwijl WhatsApp nieuwe verdedigingsmechanismen oprichtte om de dreiging tegen te gaan.
In mei 2019 zei WhatsApp dat het een geavanceerde cyberaanval had geblokkeerd waarbij gebruik werd gemaakt van het videobelsysteem om op heimelijke wijze Pegasus-malware te verspreiden. De aanval maakte gebruik van een toenmalige zero-day-fout die werd bijgehouden als CVE-2019-3568 (CVSS-score: 9,8), een kritieke bufferoverflow-bug in de spraakoproepfunctionaliteit.
Uit de documenten blijkt nu dat NSO Group “nog een andere installatievector heeft ontwikkeld (bekend als Erised) die ook WhatsApp-servers gebruikte om Pegasus te installeren.” De aanvalsvector – een zero-click-exploit die de telefoon van een slachtoffer in gevaar zou kunnen brengen zonder enige interactie van het slachtoffer – werd ergens na mei 2020 geneutraliseerd, wat aangeeft dat deze zelfs werd gebruikt nadat WhatsApp er in oktober 2019 een rechtszaak tegen had aangespannen.
Erised wordt verondersteld een van de vele malwarevectoren te zijn – gezamenlijk Hummingbird genoemd – die de NSO Group had bedacht om Pegasus te installeren door WhatsApp als kanaal te gebruiken, inclusief degenen die worden gevolgd als Heaven en Eden, waarvan de laatste een codenaam is voor CVE -2019-3568 en was gebruikt om ongeveer 1.400 apparaten te targeten.
“(NSO Group heeft) toegegeven dat zij deze exploits hebben ontwikkeld door de code van WhatsApp te extraheren en te decompileren, WhatsApp te reverse-engineeren en hun eigen ‘WhatsApp Installation Server’ (of ‘WIS’) te ontwerpen en te gebruiken om verkeerd opgemaakte berichten te verzenden (wat een legitieme WhatsApp client kon niet verzenden) via WhatsApp-servers en daardoor ervoor zorgen dat doelapparaten de Pegasus-spyware-agent installeren – alles in strijd met federale en staatswetten en de duidelijke taal van WhatsApp’s Servicevoorwaarden”, aldus de niet-verzegelde gerechtelijke documenten.
Heaven gebruikte met name gemanipuleerde berichten om de signaleringsservers van WhatsApp – die worden gebruikt om de client (dat wil zeggen de geïnstalleerde app) te authenticeren – te dwingen doelapparaten naar een externe relayserver te sturen die wordt beheerd door NSO Group.
Beveiligingsupdates aan de serverzijde die WhatsApp eind 2018 had doorgevoerd, zouden het bedrijf ertoe hebben aangezet om tegen februari 2019 een nieuwe exploit te ontwikkelen – genaamd Eden – die de behoefte aan een eigen relay-server van NSO Group liet vallen ten gunste van relays die door WhatsApp worden beheerd.
“NSO weigerde te verklaren of het na 10 mei 2020 verdere WhatsApp-gebaseerde Malware-vectoren heeft ontwikkeld”, aldus een van de documenten. “NSO geeft ook toe dat de malwarevectoren zijn gebruikt om Pegasus succesvol te installeren op ’tussen de honderden en tienduizenden’ apparaten.”
Bovendien bieden de documenten een kijkje achter de schermen van hoe Pegasus met WhatsApp op het apparaat van een doelwit wordt geïnstalleerd, en hoe NSO Group, en niet de klant, de spyware beheert, wat eerdere beweringen van het Israëlische bedrijf tegenspreekt.
“De rol van de klanten van NSO is minimaal”, aldus de documenten. “De klant hoefde alleen maar het nummer van het doelapparaat in te voeren en op ‘Installeren’ te drukken, en Pegasus installeert de agent op afstand en geheel vrijblijvend op het apparaat.’ Met andere woorden, de klant plaatst eenvoudigweg een bestelling voor de gegevens van een doelapparaat, en NSO controleert elk aspect van het proces voor het ophalen en afleveren van gegevens via het ontwerp van Pegasus.
NSO Group heeft herhaaldelijk volgehouden dat haar product bedoeld is voor de bestrijding van zware criminaliteit en terrorisme. Het heeft er ook op aangedrongen dat zijn klanten verantwoordelijk zijn voor het beheer van het systeem en toegang hebben tot de door het systeem verzamelde informatie.
In september 2024 heeft Apple een motie ingediend om de rechtszaak tegen NSO Group ‘vrijwillig’ af te wijzen, daarbij verwijzend naar een veranderend risicolandschap dat zou kunnen leiden tot het blootleggen van kritische ‘dreigingsinformatie’ en dat het ‘het potentieel heeft om vitale beveiligingsinformatie op de korrel te nemen’. risico.”
In de tussenliggende jaren heeft de iPhone-maker gestaag nieuwe beveiligingsfuncties toegevoegd om het moeilijk te maken om spyware-aanvallen uit te voeren. Twee jaar geleden introduceerde het de Lockdown-modus als een manier om de verdediging van apparaten te versterken door de functionaliteit van verschillende apps zoals FaceTime en Berichten te verminderen, en door configuratieprofielen te blokkeren.
Eerder deze week verschenen er berichten over een nieuw beveiligingsmechanisme in bètaversies van iOS 18.2 dat de telefoon automatisch opnieuw opstart als deze 72 uur lang niet is ontgrendeld, waardoor gebruikers, inclusief wetshandhavingsinstanties die mogelijk toegang hebben tot de telefoons van verdachten, opnieuw moeten worden ingeschakeld. voer het wachtwoord in om toegang te krijgen tot het apparaat.
Magnet Forensics, dat een tool voor gegevensextractie aanbiedt genaamd GrayKey, bevestigde de functie “opnieuw opstarten bij inactiviteit”, waarbij wordt gesteld dat de trigger “gekoppeld is aan de vergrendelingsstatus van het apparaat” en dat “zodra een apparaat in de vergrendelde status is gekomen en niet is ontgrendeld binnen 72 uur zal het opnieuw opstarten.”
“Vanwege de nieuwe timer voor het opnieuw opstarten bij inactiviteit is het nu belangrijker dan ooit dat apparaten zo snel mogelijk in beeld worden gebracht om ervoor te zorgen dat de meeste beschikbare gegevens worden verzameld”, voegde het eraan toe.