# CVE-2021-30860 - FORCEDENTRY: Exploit Zero-Click da NSO Group no iOS > [!critical] CVE-2021-30860 é a vulnerabilidade usada pelo exploit FORCEDENTRY da NSO Group — um zero-click zero-day que instalava o spyware Pegasus em iPhones sem qualquer interação da vítima, via iMessage. ## Visão Geral CVE-2021-30860, apelidado de **FORCEDENTRY** pelo Citizen Lab, é um integer overflow no processamento do formato de imagem JBIG2 dentro da biblioteca CoreGraphics da Apple. A vulnerabilidade foi descoberta após a análise de iPhones de ativistas e jornalistas comprometidos pelo spyware **Pegasus**, desenvolvido pela israelense NSO Group. O exploit é um **zero-click** — não requer absolutamente nenhuma interação da vítima. O ataque era entregue via iMessage: um arquivo de imagem especialmente criado era enviado, e a simples recepção da mensagem (sem abrir) já resultava no comprometimento completo do dispositivo. O Citizen Lab e o Google Project Zero descreveram FORCEDENTRY como "um dos exploits técnicamente mais sofisticados" já analisados públicamente. O impacto é de altíssima relevância para defensores globais e na América Latina, onde jornalistas, defensores de direitos humanos e funcionários governamentais foram alvos documentados do Pegasus. A Apple públicou patch emergêncial em setembro de 2021 após a divulgação pelo Citizen Lab. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Integer overflow em JBIG2 (CoreGraphics) | | Vetor de entrega | iMessage (zero-click) | | Interação requerida | Nenhuma (zero-click) | | Payload | Instalação do spyware Pegasus | | Descoberta | Citizen Lab / Google Project Zero | ## TTPs Relacionadas - [[t1203-exploitation-for-client-execution|T1203]] - Exploração de software cliente (CoreGraphics) - [[t1566-phishing|T1566]] - Entrega via mensagem (iMessage) - [[t1430-location-tracking|T1430]] - Rastreamento de localização (Pegasus) - [[t1513-screen-capture|T1513]] - Captura de tela e espionagem ## Contexto LATAM > [!latam] O spyware **Pegasus** foi documentado contra jornalistas e ativistas mexicanos e guatemaltecos, com investigações do Citizen Lab confirmando uso no México para vigilância de figuras de oposição e imprensa independente entre 2016 e 2022. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar iOS para 14.8+ e macOS para Big Sur 11.6+ imediatamente - Habilitar Lockdown Mode (iOS 16+) em perfis de alto risco - Usar Mobile Threat Defense (MTD) para detecção de comportamentos anômalos - Revisar logs de iMessage para artefatos JBIG2 suspeitos ## Referências - [Citizen Lab — FORCEDENTRY Discovery](https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/) - [Google Project Zero — FORCEDENTRY Deep Dive](https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html) - [Apple — Security Update 2021-005](https://support.apple.com/en-us/HT212807)