Apple ha rilasciato un aggiornamento di sicurezza urgente per correggere una vulnerabilità zero-click utilizzata per rilasciare lo spyware Pegasus di NSO Group sugli iPhone.
La vulnerabilità BLASTPASS
La catena di vulnerabilità, scoperta da Citizen Lab, nota come BLASTPASS consente agli attaccanti di compromettere gli iPhone con l’ultima versione di iOS 16.6 senza alcuna interazione da parte della vittima (zero-click).
“L’exploit coinvolgeva allegati PassKit contenenti immagini dannose inviate da un account iMessage dell’aggressore alla vittima.“, spiega Citizen Lab. Pertanto aprendo l’allegato, il codice dannoso viene eseguito per infettare il dispositivo con lo spyware Pegasus.
Lo spyware Pegasus
Pegasus è un potente spyware che può essere utilizzato per tracciare la posizione di una vittima, registrare le chiamate, messaggi e persino accedere a fotocamera e microfono. È stato utilizzato dai governi per prendere di mira giornalisti, attivisti e oppositori politici.
Come proteggersi
Citizen Lab ha divulgato in modo responsabile queste evidenze ad Apple che ha successivamente rilasciato un aggiornamento di sicurezza risolvendo la vulnerabilità BLASTPASS (Apple ha emesso due CVE relativi a questa catena di exploit CVE-2023-41064 e CVE-2023-41061). L’aggiornamento è disponibile per tutti gli iPhone con iOS 16.6 e versioni successive.
Citizen Lab ha inoltre esortato gli utenti ad abilitare sui propri dispositivi iPhone, iPad e Mac la modalità lockdown, una funzionalità che fornisce ulteriori protezioni di sicurezza per gli utenti che potrebbero essere a rischio di attacchi mirati.
