Apple hè di novu affruntatu critichi nantu à a vulnerabilità di u so software, postu chì i circadori anu scupertu un altru bug zero-day in iMessage. Stu novu sfruttamentu permette a consegna di u spyware Pegasus, un strumentu di surviglianza cummerciale sviluppatu da NSO Group, una cumpagnia israeliana. I ricercatori di u Citizen Lab, chì anu scupertu a vulnerabilità, anu informatu chì Pegasus hè attivamente utilizatu per mira à l'attivisti di i diritti umani.

Pegasus hè capaci di stallà stessu nantu à u telefunu di un utilizatore senza avè bisognu di alcuna interazzione di l'utilizatori o cliccà nantu à un ligame. Una volta installatu, furnisce u pirate cù un accessu cumpletu à u telefunu, cumpresu u so cuntenutu, càmera è microfonu. U Gruppu NSO dichjara chì vende u so spyware solu à l'entità di u guvernu cù l'appruvazioni di u guvernu israelianu è nega l'allegazioni di mira à attivisti di i diritti umani.

Apple hà publicatu un aghjurnamentu di sicurità, iOS 16.6.1, urgeu à l'utilizatori à aghjurnà immediatamente i so dispositi. L'aghjurnamentu include patch per duie vulnerabilità zero-day chì sò stati utilizati contr'à un membru di una urganizazione di a sucità civile in Washington, DC I vulnerabili sò stati scuperti mentre investigava u sfruttamentu iniziale. U Modu di Lockdown opt-in d'Apple, cuncepitu per rinfurzà e funzioni di sicurezza è bluccà attacchi mirati, avissi impeditu questi sfruttamenti specifichi.

A catena di sfruttamentu, cunnisciuta cum'è BLASTPASS, implicava l'invio di allegati PassKit chì cuntenenu immagini maliziusi da u contu iMessage di l'attaccu à a vittima. Apple hà emessu dui CVE ligati à sta catena di sfruttamentu, CVE-2023-41064 è CVE-2023-41061. Queste vulnerabilità permettenu à l'attori di minaccia per eseguisce codice arbitrariu.

Malgradu i sforzi d'Apple per patch vulnerabilità zero-day, i scettichi sustenenu chì u software di a cumpagnia, in particulare iMessage, cuntinueghja à affruntà prublemi di sicurezza. Apple hà riparatu un totale di 13 zero-days in 2023, cumprese i prublemi di buffer overflow è validazione. L'integrazione di l'iMessages, i missaghji di testu SMS è l'email hà cumplicatu a logica è u cumpurtamentu di a piattaforma, purtendu à cunfusione è vulnerabilità potenziale.

A scuperta recente di u sfruttamentu di u ghjornu zero è l'usu di u spyware Pegasus in mira à l'attivisti di i diritti umani mette in risaltu a necessità di una vigilanza cuntinua per affruntà e vulnerabilità di u software. A risposta rapida d'Apple in l'investigazione è patching di queste vulnerabilità hè encomiable, ma sottolinea ancu u fattu chì i sfruttamenti altamente sofisticati è i spyware cuntinueghjanu à purtà risichi per a sucità civile.

Fonti:

- [Fonte 1 - Apple libera un aghjurnamentu di sicurità maiò]

- [Fonte 2 - Apple risolve i bug di ghjornu zero]

- [Source 3 - Zero-Click, Zero-Day Exploit Captured in the Wild]