.
Os dispositivos Apple estão novamente sob ataque, com uma vulnerabilidade de zero clique e dia zero usada para entregar spyware Pegasus a iPhones descobertos na natureza.
Mesmo executar a versão mais recente do iOS (16.6) não é uma defesa contra a exploração, que envolve anexos do PassKit contendo imagens maliciosas. Uma vez enviado para a conta iMessage da vítima, o spyware Pegasus do Grupo NSO pode ser implantado sem interação.
Os pesquisadores do Citizen Lab estão se referindo à exploração como BLASTPASS. A equipe disse que divulgou imediatamente suas descobertas à Apple quando descobriu pela primeira vez um dispositivo infectado de propriedade de um indivíduo empregado de uma organização da sociedade civil com sede em Washington DC e escritórios internacionais.
A Apple agiu rapidamente, atribuindo dois CVEs à cadeia de exploração – CVE-2023-41064 e CVE-2023-41061 – e emitindo atualizações para iOS e iPadOS. A Apple e o Citizen Lab também aconselharam a ativação do modo Lockdown, que bloqueia o ataque, para usuários em risco.
Citizen Lab disse: “Parabenizamos a Apple por sua rápida resposta investigativa e ciclo de patches, e reconhecemos a vítima e sua organização por sua colaboração e assistência”.
Embora o Citizen Lab não tenha respondido imediatamente a uma solicitação de mais detalhes sobre a cadeia de exploração – e a organização planeja uma postagem atualizada sobre este tópico no futuro – algumas informações podem ser obtidas em Notas de lançamento da Apple.
CVE-2023-41064 está relacionado a um problema de buffer overflow no ImageIO, onde o processamento de uma imagem criada com códigos maliciosos pode resultar na execução arbitrária de código. O mesmo resultado foi observado para Wallet em CVE-2023-41061 devido a um anexo criado com códigos maliciosos. Neste último caso, a Apple lidou com um problema de validação com lógica aprimorada.
PassKit é o serviço de passes distribuíveis adicionados à carteira Apple do usuário. Um passe é um pacote assinado contendo uma descrição JSON, imagens e localizações.
Pegasus é o infame spyware que seu desenvolvedor, o israelense Grupo NSO, as reivindicações são vendidas apenas para agências governamentais legítimas. Uma vez instalado, ele pode monitorar chamadas e mensagens e usar a câmera do telefone. Apesar de protestos que o spyware só é licenciado para agências governamentais para impedir criminosos, seu uso tem alarme gerado entre legisladores e ativistas de privacidade.
Em 2020 e 2021, Laboratório Cidadão encontrei o malware à espreita em dispositivos em todo o governo do Reino Unido.
Quanto às explorações mais recentes, o conselho é atualizar seus dispositivos iOS e iPadOS imediatamente. A menos, é claro, você trabalha para o governo chinês. ®
.
