Mjeti i hakerimit Heliconia ka shfrytëzuar dobësitë në Chrome, Windows Defender dhe Firefox, sipas studiuesve të sigurisë së kompanisë.
Industria Commercial Spyware është vënë gjithnjë e më shumë nën kritika për shitjen e mjeteve të fuqishme të mbikëqyrjes për këdo që mund të paguajë, nga qeveritë tek kriminelët në mbarë botën. Në të gjithë Bashkimin Evropian, detajet se si spyware është përdorur për të shënjestruar aktivistët, liderët e opozitës, avokatët dhe gazetarët në shumë vende, së fundmi kanë prekur skandale dhe thirrje për reforma. Sot, Grupi i Analizës së Kërcënimeve të Google njoftoi veprimin për të bllokuar një mjet të tillë hakerimi që synonte kompjuterët desktop dhe me sa duket ishte zhvilluar nga një firmë spanjolle.
Korniza e shfrytëzimit, e quajtur Heliconia, erdhi në vëmendjen e Google pas një sërë paraqitjesh anonime në programin e raportimit të defekteve në Chrome. Zbulimet vunë në dukje dobësitë e shfrytëzueshme në Chrome, Windows Defender dhe Firefox që mund të abuzohen për të vendosur spyware në pajisjet e synuara, duke përfshirë kompjuterët Windows dhe Linux. Dorëzimi përfshinte kodin burimor nga kuadri i hakerimit të Heliconia dhe i quajti dobësitë Heliconia Noise, Heliconia Soft dhe Files. Google thotë se provat tregojnë për firmën e teknologjisë me bazë në Barcelonë Variston IT si zhvilluesin e kornizës së hakerëve.
“Gjetjet tregojnë se ne kemi shumë lojtarë të vegjël brenda industrisë së spyware, por me aftësi të forta që lidhen me ditët zero,” thanë studiuesit e TAG WIRED, duke iu referuar dobësive të panjohura dhe të papatchuara.
Variston IT nuk iu përgjigj një kërkese për koment nga WIRED. Drejtori i kompanisë, Ralf Wegner, i tha TechCrunch se Variston nuk iu dha mundësia të rishikonte kërkimin e Google dhe nuk mund ta vërtetonte atë. Ai shtoi se “do të habitej nëse një artikull i tillë do të gjendej në natyrë”. Google konfirmoi se studiuesit nuk kontaktuan Variston IT përpara publikimit, siç është praktika standarde e kompanisë në këto lloj hetimesh.
Google, Microsoft dhe Mozilla korrigjuan dobësitë e Heliconia në 2021 dhe 2022 dhe Google thotë se nuk ka zbuluar ndonjë shfrytëzim aktual të gabimeve. Por provat në paraqitjet e gabimeve tregojnë se korniza ka të ngjarë të përdorej për të shfrytëzuar të metat duke filluar në 2018 dhe 2019, shumë kohë përpara se ato të rregulloheshin. Heliconia Noise shfrytëzoi një dobësi të renderer Chrome dhe një arratisje sandbox, ndërsa Heliconia Soft përdori një PDF me qëllim të keq të lidhur me një shfrytëzim të Windows Defender dhe Files vendosi një grup shfrytëzimesh Firefox për Windows dhe Linux. TAG bashkëpunoi në kërkimin me anëtarët e grupit të kërkimit të gabimeve të Project Zero të Google dhe ekipin e sigurisë Chrome V8.
Fakti që Google nuk sheh prova aktuale të shfrytëzimit mund të nënkuptojë se kuadri Heliconia tani është i fjetur, por mund të tregojë gjithashtu se mjeti i hakerimit ka evoluar. “Mund të ketë shfrytëzime të tjera, një kornizë të re, shfrytëzimet e tyre nuk kaluan në sistemet tona, ose tani ka shtresa të tjera për të mbrojtur shfrytëzimet e tyre,” thanë studiuesit e TAG
Në fund të fundit, grupi thotë se qëllimi i tij me këtë lloj kërkimi është të hedhë dritë mbi metodat, aftësitë teknike dhe abuzimet e industrisë komerciale të spyware. TAG krijoi zbulime për shërbimin e Shfletimit të Sigurt të Google për të paralajmëruar për faqet dhe skedarët e lidhur me Heliconia, dhe studiuesit theksojnë se është gjithmonë e rëndësishme të mbash softuerin të përditësuar.
“Rritja e industrisë së spyware i vë përdoruesit në rrezik dhe e bën internetin më pak të sigurt,” shkroi TAG në një postim në blog në lidhje me gjetjet. “Dhe ndërsa teknologjia e mbikëqyrjes mund të jetë e ligjshme sipas ligjeve kombëtare ose ndërkombëtare, ato shpesh përdoren në mënyra të dëmshme për të kryer spiunazh dixhital kundër një sërë grupesh.”
