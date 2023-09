Apple staar weereens kritiek in die gesig oor die kwesbaarheid van sy sagteware, aangesien navorsers nog 'n nul-dag fout in iMessage ontdek het. Hierdie nuwe uitbuiting laat die aflewering van die Pegasus-spioenware toe, 'n kommersiële toesiginstrument wat ontwikkel is deur NSO Group, 'n Israeliese maatskappy. Navorsers van Citizen Lab, wat die kwesbaarheid ontdek het, het berig dat Pegasus aktief gebruik word om menseregte-aktiviste te teiken.

Pegasus is in staat om homself op 'n gebruiker se foon te installeer sonder om enige gebruikerinteraksie te vereis of op 'n skakel te klik. Sodra dit geïnstalleer is, bied dit die hacker volledige toegang tot die foon, insluitend die inhoud, kameras en mikrofoon. Die NSO-groep beweer dat hy slegs sy spioenware aan regeringsentiteite verkoop met die goedkeuring van die Israeliese regering en ontken bewerings dat hulle menseregte-aktiviste geteiken het.

Apple het 'n sekuriteitsopdatering, iOS 16.6.1 vrygestel, wat gebruikers versoek om hul toestelle onmiddellik op te dateer. Die opdatering bevat pleisters vir twee nul-dag kwesbaarhede wat gebruik is teen 'n lid van 'n burgerlike samelewing organisasie in Washington, DC. Die kwesbaarhede is ontdek terwyl die aanvanklike uitbuiting ondersoek is. Apple se opt-in Lockdown Mode, wat ontwerp is om sekuriteitskenmerke te verbeter en geteikende aanvalle te blokkeer, sou hierdie spesifieke uitbuitings verhoed het.

Die ontginningsketting, bekend as BLASTPASS, het behels die stuur van PassKit-aanhegsels wat kwaadwillige beelde bevat vanaf 'n aanvaller se iMessage-rekening na die slagoffer. Apple het twee CVE's uitgereik wat verband hou met hierdie ontginningsketting, CVE-2023-41064 en CVE-2023-41061. Hierdie kwesbaarhede laat bedreigingsakteurs toe om arbitrêre kode uit te voer.

Ten spyte van Apple se pogings om nul-dag kwesbaarhede reg te stel, argumenteer skeptici dat die maatskappy se sagteware, veral iMessage, steeds sekuriteitskwessies in die gesig staar. Apple het 'n totaal van 13 nul-dae in 2023 reggestel, insluitend bufferoorloop en valideringskwessies. Die integrasie van iMessages, SMS-teksboodskappe en e-pos het die logika en gedrag van die platform bemoeilik, wat tot verwarring en moontlike kwesbaarhede gelei het.

Die onlangse ontdekking van die nul-dag-uitbuiting en die gebruik van Pegasus-spioenware om menseregte-aktiviste te teiken, beklemtoon die behoefte aan volgehoue ​​waaksaamheid om sagteware-kwesbaarhede aan te spreek. Apple se vinnige reaksie in die ondersoek en regstelling van hierdie kwesbaarhede is prysenswaardig, maar dit onderstreep ook die feit dat hoogs gesofistikeerde uitbuitings en spioenware steeds risiko's vir die burgerlike samelewing inhou.

