cve-2016-4656 - RunkIntel

# CVE-2016-4656 > [!danger] Crítico - Explorado Ativamente pelo Spyware Pegasus > Vulnerabilidade de corrupção de memória no kernel do iOS (Trident) explorada pelo grupo NSO para instalação silenciosa do spyware Pegasus. Um dos três CVEs do conjunto "Trident", usados em cadeia para comprometer iPhones sem interação do usuário. Altamente relevante para LATAM - México e Brasil figuram entre os países com maior número de vítimas confirmadas. ## Visão Geral CVE-2016-4656 é uma vulnerabilidade de corrupção de memória no kernel do Apple iOS, descoberta em agosto de 2016 pelo Citizen Lab e pela empresa de segurança Lookout. A falha permite que um atacante execute código com privilégios de kernel após explorar uma condição de estouro de buffer na camada de gerenciamento de memória do iOS. Esta vulnerabilidade faz parte do conjunto denominado **"Trident"** - três zero-days encadeados (CVE-2016-4655, CVE-2016-4656 e CVE-2016-4657) utilizados pelo spyware **Pegasus**, desenvolvido pelo grupo israelense NSO. O encadeamento permite um comprometimento completo: CVE-2016-4657 explora o WebKit via link malicioso enviado por SMS, CVE-2016-4655 vaza o endereço base do kernel, e CVE-2016-4656 realiza o jailbreak e instala o Pegasus de forma silenciosa. A divulgação ocorreu após o ativista de direitos humanos Ahmed Mansoor, dos Emirados Árabes Unidos, receber um SMS suspeito com link. Ao encaminhar o link para o Citizen Lab sem clicar, desencadeou a investigação que levou à descoberta do Pegasus. A Apple lançou o patch em 25 de agosto de 2016 com o iOS 9.3.5. O impacto operacional é severo: o Pegasus, uma vez instalado, obtém controle total do dispositivo - captura de mensagens (incluindo aplicativos com criptografia de ponta a ponta como WhatsApp e Signal), ativação de microfone e câmera, rastreamento de localização e exfiltração de credenciais. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | CVE-ID | CVE-2016-4656 | | CVSS v2 | 9.3 (Critical) | | CVSS v3 | 7.8 (High) | | Vetor v3 | `CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H` | | CWE | CWE-119 - Buffer Overflow / Corrupção de Memória | | Componente | Kernel do Apple iOS | | Versões afetadas | iOS < 9.3.5 | | Patch | iOS 9.3.5 (25/08/2016) | | CISA KEV | Sim | ### Cadeia de Exploração Trident ``` [Atacante] → SMS com link malicioso ↓ [CVE-2016-4657] WebKit RCE via Safari ↓ [CVE-2016-4655] Kernel info leak (KASLR bypass) ↓ [CVE-2016-4656] Kernel memory corruption → jailbreak silencioso ↓ [Pegasus instalado] → Controle total do dispositivo ``` ### Comportamento Pós-Exploração Após o jailbreak via CVE-2016-4656, o Pegasus: - Persiste no dispositivo após reinicializações - Intercepta chamadas, SMS e mensagens de aplicativos criptografados - Ativa microfone e câmera remotamente - Exfiltra senhas e chaves armazenadas no Keychain - Rastreia localização via GPS O Pegasus usa comunicação C2 sobre HTTPS com domínios gerados dinâmicamente (DGA), dificultando a detecção por soluções de rede. ## Relevância LATAM/Brasil A relevância desta vulnerabilidade para o Brasil e América Latina é **direta e documentada**. O spyware Pegasus, cujo vetor de acesso inclui o CVE-2016-4656, foi utilizado de forma extensiva na região contra jornalistas, ativistas, advogados e figuras políticas. **México** foi o país com maior número confirmado de alvos no mundo: mais de 50 pessoas identificadas pelo Citizen Lab, incluindo jornalistas investigativos, defensores de direitos humanos e funcionários públicos do próprio governo federal. Operadoras de telefonia mexicanas foram identificadas como pontos de infraestrutura do Pegasus. **Brasil** tem presença documentada de infraestrutura do Pegasus - o Citizen Lab identificou domínios de C2 resolvendo para IPs de provedores brasileiros. Embora os alvos brasileiros não tenham sido públicamente nomeados em escala equivalente ao México, a existência de infraestrutura local indica operação ativa no país. **Impacto setorial na região:** | Setor | Exposição | |-------|-----------| | [[governo\|Governo]] | Alto - alvos políticos documentados no México, potencial BR | | [[midia\|Mídia]] | Alto - jornalistas investigativos como alvos primários | | Sociedade civil | Alto - ONGs, advogados de direitos humanos | | [[tecnologia\|Tecnologia]] | Médio - pesquisadores de segurança como alvos potenciais | A versão de 2016 do Pegasus (explorada via Trident) foi sucedida por versões ainda mais sofisticadas, incluindo exploits "zero-click" (sem interação do alvo) descobertos entre 2019 e 2022 - reforçando que o NSO Group mantém capacidade operacional relevante para a região. ## Detecção e Defesa ### Indicadores de Comprometimento A detecção do Pegasus em dispositivos iOS é complexa. As ferramentas especializadas incluem: - **MVT (Mobile Verification Toolkit)** - desenvolvida pela Amnesty International, analisa backups iOS/Android em busca de rastros do Pegasus - **iMazing** - aplicativo comercial com módulo de detecção de spyware ### Verificação via MVT ```bash # Instalar MVT pip install mvt # Verificar backup iOS mvt-ios check-backup --iocs indicators.stix2 /path/to/backup # Verificar via iTunes backup descriptografado mvt-ios decrypt-backup -p senha /path/to/encrypted/backup /path/to/decrypted # Verificar sistema de arquivos (requer jailbreak) mvt-ios check-fs --iocs indicators.stix2 /path/to/filesystem ``` ### Mitigação 1. **Atualização imediata** - iOS 9.3.5+ corrige os três CVEs do Trident 2. **Não clicar em links suspeitos** - especialmente recebidos por SMS de números desconhecidos 3. **Reinicializações regulares** - versões antigas do Pegasus (2016) não persistiam após reboot; versões mais novas sim 4. **MDM corporativo** - políticas de atualização obrigatória de OS em dispositivos corporativos 5. **Monitoramento de tráfego de rede** - domínios C2 do Pegasus podem ser detectados via DNS sinkholes ### Regra de Detecção (Sigma - Nível de Rede) ```yaml title: Pegasus C2 Communication Indicators id: a9b2c3d4-e5f6-7890-abcd-ef1234567890 status: experimental description: Detects potential Pegasus spyware C2 commúnication patterns references: - https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/ author: RunkIntel date: 2026/03/29 tags: - attack.exfiltration - attack.t1041 logsource: category: proxy detection: keywords: - 'nartv.com' - 'linksys.org' - 'getpocket.co' condition: keywords falsepositives: - Legitimate traffic to similarly named domains (verify) level: high ``` ## Referências - [Citizen Lab - Million Dollar Dissident (2016)](https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/) - [Lookout - Trident Technical Analysis](https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf) - [Apple Security Advisory - iOS 9.3.5](https://support.apple.com/en-us/HT207107) - [Citizen Lab - Pegasus no México](https://citizenlab.ca/2017/02/bittersweet-nso-mexico-spyware/) - [Amnesty International - MVT Toolkit](https://github.com/mvt-project/mvt) - [NVD - CVE-2016-4656](https://nvd.nist.gov/vuln/detail/CVE-2016-4656) **Notas relacionadas:** [[operation-pegasus]] · [[nso-group]] · [[cve-2016-4655|CVE-2016-4655]] · [[cve-2016-4657|CVE-2016-4657]] · [[T1404 - Exploit for Privilege Escalation]] · [[governo]] · [[midia]]