Pegasus is spyware dat zonder toedoen van de gebruiker geïnstalleerd kan worden op mobiele telefoons. Het is een product van het Israëlische cyberwapenbedrijf NSO group. Google heeft nu meer inzicht gekregen in de werking van de volgens hun meest geavanceerde exploit ooit. ForcedEntry is de naam van de iOS-exploit dat het bedrijf gebruikte om Pegasus te installeren op iPhones.
Alleen het telefoonnummer of Apple ID van het slachtoffer is nodig. In de eerste stap misbruikt de exploit de manier waarop iMessenger gifs verwerkt. Een pdf-bestand, vermomd als een gif, wordt naar het slachtoffer gestuurd. iMessenger opent het pdf-bestand en gebruik daarbij JBIG2.
JBIG2 is een standaard ontwikkeld in de jaren negentig om efficiënt zwart-wit afbeeldingen op te slaan. JBIG2 gebruikt 32-bit getallen en het inlezen van een 64-bit getal zorgt voor een overflow.
Door een fout in de iOS-implementatie van JBIG2 worden bij een overflow andere delen in het geheugen overschreven. Pegasus gebruikt deze fout om logische poorten te bouwen. Die logische poorten worden dan gecombineerd tot een virtuele computer! Deze virtuele computer heeft volledige controle over het toestel en de aanvaller kan via deze computer instructies uitvoeren op de iPhone.
Beangstigend is dat de gebruiker de berichten nooit te zien krijgt en dus niet weet dat de software geïnstalleerd is. Apple heeft deze exploit ondertussen opgelost. De ontwikkelaars van Pegasus blijven helaas constant nieuwe manieren zoeken om hun spyware te installeren. Het zal dus een eeuwige strijd blijven tussen de fabrikanten en cyberwapenbedrijven.
Bronnen: BGR, Google Project Zero
