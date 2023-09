Una vulnerabilità zero-click, zero-day destinata à i dispositi Apple hè stata recentemente scuperta, risultatu in a consegna di u famusu spyware Pegasus à l'iPhone. U sfruttamentu, cunnisciutu cum'è BLASTPASS, ignora ancu l'ultima versione di iOS (16.6) utilizendu allegati PassKit chì cuntenenu immagini maliziusi. Una volta questi allegati sò mandati à u contu iMessage di a vittima, u spyware Pegasus di u Gruppu NSO pò esse implementatu senza alcuna interazzione necessaria.

U squadra di ricerca in Citizen Lab hà avvisatu prontamente Apple dopu avè scupertu un dispositivu infettatu chì appartene à un individuu impiegatu da una urganizazione di a sucietà civile basata in Washington DC, cun diffusione internaziunale. In risposta, Apple hà assignatu rapidamente dui identificatori di Vulnerabilità è Esposizioni (CVE) cumuni à a catena di sfruttamentu - CVE-2023-41064 è CVE-2023-41061 - è hà publicatu aghjurnamenti per iOS è iPadOS. L'utilizatori à risicu sò stati cunsigliati per attivà u Modu Lockdown, chì blocca in modu efficace l'attaccu.

Mentre chì più detaglii riguardanti a catena di sfruttamentu sò ancu da esse furniti da Citizen Lab, e note di liberazione d'Apple mettenu un pocu di luce nantu à e vulnerabilità. CVE-2023-41064 hè attribuita à un prublema di overflow di buffer in ImageIO, induve a trasfurmazioni di una maghjina maliciosa pò purtà à l'esecuzione di codice arbitrariu. Intantu, l'app Wallet hè stata affettata da CVE-2023-41061 per via di un allegatu maliziusu, chì hè statu indirizzatu da Apple per mezu di una logica mejorata per a validazione.

U spyware Pegasus, sviluppatu da u Gruppu NSO d'Israele, hè un strumentu assai cuntruversu chì pretende esse vendutu solu à l'agenzii di u guvernu legittimi. Una volta installatu, stu spyware pò monitorà e chjama, i missaghji, è aduprà a camera di u telefunu. Malgradu l'affirmazioni di u Gruppu NSO di licenziari u spyware per cumbatte i criminali, u so usu hà suscitatu preoccupazioni trà i legislatori è l'attivisti di privacy. Citizen Lab hà scupertu prima a presenza di Pegasus in i dispositi in u guvernu britannicu.

Per salvaguardà questi sfruttamenti, hè cruciale per aghjurnà immediatamente i dispositi iOS è iPadOS. A risposta rapida d'Apple è u ciclu di patch, cumminatu cù a cullaburazione di l'urganizazione vittima, sò stati elogiati da Citizen Lab per i so sforzi per affruntà sta vulnerabilità.

Definizione:

Vulnerabilità Zero-day: Una vulnerabilità di u software chì hè scuperta da l'attori di minaccia prima ch'ella sia cunnisciuta da i venditori o sviluppatori di software, chì potenzialmente permette un accessu micca autorizatu o attività maliziusi.

Sfruttamentu: Un pezzu di software, codice, o tecnica chì prufitta di una vulnerabilità in un sistema, applicazione o software per fà azzione maliciosa o acquistà accessu micca autorizatu.

Spyware Pegasus: Un putente strumentu di spyware sviluppatu da u Gruppu NSO chì pò infiltrà è monitorà di manera secreta diversi aspetti di un dispositivu di destinazione, cumprese chjamate, messagi è usu di càmera.

PassKit: Un serviziu furnitu da Apple chì permette a distribuzione di pass, cum'è biglietti, cuponi è carte di adesione, attraversu l'applicazione Apple Wallet di l'utilizatori.

CVE (Vulnerabilità è Esposizioni Cumuni): Un identificatore standardizatu assignatu à una vulnerabilità specifica o prublema di sicurezza per u scopu di seguimentu è riferimentu.

Fonti: Citizen Lab, note di liberazione Apple