Команда Google Project Zero использовала образец ForcedEntry, предоставленный экспертами Citizen Lab из Университета Торонто, которые первыми обнаружил эксплойт. При глубоком анализе эксплойта специалисты Project Zero заявили, что ForcedEntry использует атаку с нулевым щелчком, что означает, что жертве не нужно открывать ссылку или предоставлять разрешение. Взлом обошел защиту Apple iOS с нулевым щелчком и, используя Apple iMessage, захватил устройства для установки шпионского ПО Pegasus.

ForcedEntry использовал способ, которым iMessage принимал и интерпретировал файлы, такие как GIF, чтобы обмануть платформу и заставить ее открыть вредоносный файл PDF без какого-либо участия пользователя. Эксплойт использовал слабое место в старой технологии сжатия, разработанной для создания сжатых файлов PDF при сканировании документа с помощью физического сканера. Эта же технология до сих пор используется компьютерами.

ForcedEntry использует сценарий, состоящий из логических команд, записанных непосредственно в файл PDF с маской. Это позволяет ему организовать и запустить всю атаку, скрываясь в iMessage, что ещё больше затрудняет поиск. Тот факт, что ForcedEntry использует такую технологию, делает её уникальной, поскольку многие подобные атаки должны использовать так называемый командно-управляющий сервер для передачи инструкций вредоносной программе.

Анализ Project Zero важен не только потому, что он раскрывает детали того, как работает ForcedEntry, но и потому, что показывает, насколкьо впечатляющими и опасными могут быть программы частной разработки.

Старший научный сотрудник Citizen Lab Джон Скотт-Рейлтон