Secondo alcuni documenti trapelati, una vulnerabilità zero day del sistema operativo mobile iOS di Apple che consente l’esecuzione di codice da remoto è stata messa in vendita per 8 milioni di euro.
Vulnerabilità zero day di Apple
L’exploit principale venduto come parte del pacchetto “Nova” consente l’iniezione mirata di codice da un browser web nel sistema operativo, secondo i documenti condivisi dal repository di codice di cybersicurezza vx-underground. La vulnerabilità viene sfruttata tramite un attacco di phishing in cui si clicca su un link e si attiva la vulnerabilità.
I documenti di marketing, che sembrano provenire dalla società di cyber intelligence Intellexa, illustrano i dettagli dell’exploit e ciò che il venditore otterrà in cambio del prezzo di acquisto. Questi documenti sono stati condivisi per la prima volta il mese scorso dal gruppo senza nome, ma vx-underground afferma di “non avere modo di determinare la validità del venditore”.
Non è chiaro se gli exploit pubblicizzati siano già stati patchati da Apple, ma il venditore offre una garanzia di 12 mesi, quindi anche se sono stati patchati l’acquirente riceverà delle alternative da utilizzare.
L’exploit è indicato come funzionante su iOS 15.4.1 e versioni precedenti di un anno, il che suggerisce che la falla è stata patchata nelle versioni più recenti del sistema operativo mobile. Funziona anche su Android 12 e versioni successive. Oltre all’exploit 0 day, il prezzo include exploit per altri dispositivi e supporto cloud per l’iniezione di codice basata su browser web.
