Ieri Apple ha rilasciato iOS 16.6.1, aggiornamento che include la correzione di due exploit zero-day, cioè tecniche di hacking sconosciute al momento in cui Apple ne ha preso conoscenza.
Questi exploit erano stati utilizzati contro un membro di un’organizzazione della società civile a Washington, D.C., secondo quanto riferito dai ricercatori che hanno scoperto le vulnerabilità.
Citizen Lab, un gruppo di controllo di internet che investiga sul malware governativo, ha pubblicato un breve post sul suo blog spiegando che la scorsa settimana hanno scoperto una vulnerabilità zero-click, il che significa che il bersaglio degli hacker non deve toccare o cliccare nulla, come un allegato, per essere colpito da malware. I ricercatori hanno dichiarato che questa vulnerabilità faceva parte di una catena di exploit progettata per consegnare il malware del NSO Group, noto come Pegasus.
“La catena di exploit era in grado di compromettere iPhone con l’ultima versione di iOS (16.6) senza alcuna interazione da parte della vittima”, ha scritto Citizen Lab.
Una volta scoperta la vulnerabilità, i ricercatori l’hanno segnalata ad Apple, che ha rilasciato una correzione, ringraziando Citizen Lab per la segnalazione.
In base a quanto scritto da Citizen Lab nel post del blog e al fatto che Apple ha anche corretto un’altra vulnerabilità attribuendone la scoperta all’azienda stessa, sembra che la società di Cupertino abbia trovato la seconda vulnerabilità mentre indagava sulla prima.
Citizen Lab ha chiamato la catena di exploit BLASTPASS, perché coinvolgeva PassKit, un framework che consente agli sviluppatori di includere Apple Pay nelle loro app.
Per chi non ne è a conoscenza, Pegasus è stato sviluppato pensando a governi e agenzie di forze dell’ordine. Il gruppo NSO non vende il software spia agli utenti comuni, ma la maggior parte dei paesi che hanno acquistato Pegasus è nota per violare i diritti umani, mettendo a rischio persone come giornalisti ed oppositori politici.
Citizen Lab ha consigliato a tutti gli utenti di iPhone di aggiornare immediatamente i propri telefoni.
Leggi o Aggiungi Commenti