اكتشف باحث في شركة الاتصالات والأمن السيبراني السويدية Enea تكتيكًا غير معروف سابقًا أتاحته مجموعة NSO الإسرائيلية للاستخدام في حملات لإسقاط أداة Pegasus لبرامج التجسس المحمولة سيئة السمعة على الأجهزة المحمولة المملوكة لأفراد مستهدفين في جميع أنحاء العالم.
اكتشف الباحث هذه التقنية عند النظر في إدخال بعنوان "بصمة رسائل الوسائط المتعددة" (MMS Fingerprint) في عقد بين أحد بائعي مجموعة NSO وهيئة تنظيم الاتصالات في غانا.
كان العقد جزءًا من وثائق المحكمة المتاحة للجمهور المرتبطة بدعوى قضائية عام 2019 تتعلق بـ WhatsApp ومجموعة NSO، بشأن استغلال الأخيرة لخلل في WhatsApp لنشر برنامج Pegasus على أجهزة مملوكة للصحفيين. نشطاء حقوق الإنسانوالمحامين وغيرهم على مستوى العالم.
نقرة صفر على ملف تعريف الجهاز لـ Pegasus
وصف العقد بصمة MMS بأنها شيء يمكن لعميل NSO استخدامه للحصول على تفاصيل حول جهاز BlackBerry أو Android أو iOS مستهدف وإصدار نظام التشغيل الخاص به، وذلك ببساطة عن طريق إرسال رسالة خدمة رسائل الوسائط المتعددة (MMS) إليه.
وأشار العقد إلى أنه "لا يلزم تفاعل المستخدم أو التفاعل أو فتح الرسالة لتلقي بصمة الجهاز".
في منشور بالمدونة الأسبوع الماضي، وقال كاثال ماكدايد، الباحث في شركة Enea، إنه قرر التحقيق في هذا المرجع لأن "بصمة رسائل الوسائط المتعددة" لم يكن مصطلحًا معروفًا في الصناعة.
"بينما يجب علينا دائمًا أن نأخذ في الاعتبار أن مجموعة NSO قد تكون ببساطة "تخترع" أو تبالغ في القدرات التي تدعي أنها تمتلكها (في تجربتنا، تبالغ شركات المراقبة بانتظام في تقديم الوعود بقدراتها)، فإن حقيقة أن هذا كان بموجب عقد وليس إعلانًا يشير إلى ذلك". وكتب ماكدايد: "من المرجح أن يكون الأمر حقيقيًا".
بصمات الأصابع بسبب مشكلة في تدفق رسائل الوسائط المتعددة
وسرعان ما قاده تحقيق McDaid إلى استنتاج أن التقنية المذكورة في عقد مجموعة NSO من المحتمل أن تكون لها علاقة بتدفق رسائل الوسائط المتعددة نفسها وليس أي ثغرات أمنية خاصة بنظام التشغيل.
يبدأ التدفق عادةً عندما يرسل جهاز المرسل في البداية رسالة MMS إلى مركز رسائل الوسائط المتعددة (MMSC) الخاص بالمرسل. يقوم MMSC الخاص بالمرسل بعد ذلك بإعادة توجيه تلك الرسالة إلى MMSC الخاص بالمستلم، والذي يقوم بعد ذلك بإعلام جهاز المستلم برسالة MMS المنتظرة. وكتب ماكدايد أن الجهاز المتلقي يقوم بعد ذلك باسترداد الرسالة من MMSC الخاص به.
نظرًا لأن مطوري خدمة رسائل الوسائط المتعددة قدموها في وقت لم تكن جميع الأجهزة المحمولة متوافقة مع الخدمة، فقد قرروا استخدام نوع خاص من الرسائل القصيرة (يسمى "WSP Push") كوسيلة لإخطار أجهزة المستلمين برسائل الوسائط المتعددة المعلقة في MMSC للمستلم. كتب الباحث أن طلب الاسترداد اللاحق ليس في الحقيقة رسالة وسائط متعددة، ولكنه طلب HHTP GET تم إرساله إلى عنوان URL للمحتوى المدرج في حقل موقع المحتوى في الإشعار.
وكتب: "الشيء المثير للاهتمام هنا، هو أنه ضمن HTTP GET، يتم تضمين معلومات جهاز المستخدم". وخلص ماكدايد إلى أن هذا على الأرجح هو الطريقة التي حصلت بها مجموعة NSO على معلومات الجهاز المستهدف.
اختبر McDaid نظريته باستخدام بعض نماذج بطاقات SIM من مشغل اتصالات في أوروبا الغربية وبعد بعض التجارب والخطأ تمكن من الحصول على معلومات وكيل المستخدم ومعلومات رأس HTTP لجهاز الاختبار، والتي تصف إمكانيات الجهاز. وخلص إلى أن الجهات الفاعلة في مجموعة NSO يمكنها استخدام المعلومات لاستغلال نقاط ضعف معينة في أنظمة تشغيل الأجهزة المحمولة، أو لتخصيص برنامج Pegasus وحمولات ضارة أخرى للأجهزة المستهدفة.
وأشار إلى أنه "أو يمكن استخدامه للمساعدة في صياغة حملات تصيد ضد الإنسان باستخدام الجهاز بشكل أكثر فعالية".
وقال ماكديد إن تحقيقاته على مدى الأشهر القليلة الماضية لم تكتشف أي دليل على قيام أي شخص باستغلال هذه التقنية في البرية حتى الآن.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal
