Hiljuti avastati Apple'i seadmetele suunatud nullklõpsu ja nullpäeva haavatavus, mille tulemuseks on kurikuulsa Pegasuse nuhkvara tarnimine iPhone'idesse. BLASTPASS-i nime all tuntud ärakasutamine läheb mööda isegi iOS-i uusimast versioonist (16.6), kasutades PassKiti manuseid, mis sisaldavad pahatahtlikke pilte. Kui need manused on ohvri iMessage'i kontole saadetud, saab NSO Groupi Pegasuse nuhkvara kasutusele võtta ilma, et oleks vaja mingit sekkumist.

Citizen Labi uurimisrühm teavitas Apple'i viivitamatult pärast nakatunud seadme avastamist, mis kuulus Washingtonis asuva kodanikuühiskonna organisatsiooni palgatud isikule, kellel on rahvusvaheline ulatus. Vastuseks määras Apple kasutusahelale kiiresti kaks levinumate haavatavuste ja kokkupuute (CVE) identifikaatorit – CVE-2023-41064 ja CVE-2023-41061 – ning avaldas iOS-i ja iPadOS-i värskendused. Ohustatud kasutajatel soovitati lubada lukustusrežiim, mis blokeerib rünnaku tõhusalt.

Kuigi Citizen Lab ei esita veel üksikasju kasutusahela kohta, heidavad Apple'i väljalaskemärkmed haavatavustele valgust. CVE-2023-41064 omistatakse ImageIO puhvri ületäitumise probleemile, kus pahatahtlikult koostatud pildi töötlemine võib viia suvalise koodi täitmiseni. Vahepeal mõjutas rakendust Wallet CVE-2023-41061 pahatahtlikult koostatud manuse tõttu, mida Apple käsitles täiustatud valideerimisloogika abil.

Pegasuse nuhkvara, mille on välja töötanud Iisraeli NSO Group, on väga vastuoluline tööriist, mida väidetavalt müüakse ainult seaduslikele valitsusasutustele. Pärast installimist saab see nuhkvara jälgida kõnesid, sõnumeid ja kasutada telefoni kaamerat. Vaatamata NSO Groupi väidetele nuhkvara litsentsimise kohta kurjategijate vastu võitlemiseks, on selle kasutamine tekitanud muret seadusandjate ja privaatsusaktivistide seas. Citizen Lab avastas varem Pegasuse olemasolu Ühendkuningriigi valitsuse seadmetes.

Nende ärakasutamise eest kaitsmiseks on ülioluline iOS-i ja iPadOS-i seadmeid kohe värskendada. Citizen Lab on tunnustanud Apple'i kiiret reageerimis- ja paikamistsüklit koos ohvriks langenud organisatsiooni koostööga nende jõupingutuste eest selle haavatavuse kõrvaldamiseks.

Mõisted:

Nullpäeva haavatavus: tarkvara haavatavus, mille ohus osalejad avastavad enne, kui sellest saavad teada tarkvaramüüjad või -arendajad ja mis võib lubada volitamata juurdepääsu või pahatahtlikke tegevusi.

Ärakasutamine: tarkvara, koodi või tehnika osa, mis kasutab ära süsteemi, rakenduse või tarkvara haavatavust, et sooritada pahatahtlikke toiminguid või saada volitamata juurdepääsu.

Pegasuse nuhkvara: NSO Groupi välja töötatud võimas nuhkvaratööriist, mis suudab varjatult tungida sihtseadmesse ja jälgida selle erinevaid aspekte, sealhulgas kõnesid, sõnumeid ja kaamera kasutamist.

PassKit: Apple'i pakutav teenus, mis võimaldab kasutaja Apple Walleti rakenduse kaudu levitada pääsmeid, nagu pileteid, kuponge ja liikmekaarte.

CVE (Common Vulnerabilities and Exposures): standardiseeritud identifikaator, mis on määratud konkreetsele haavatavusele või turbeprobleemile jälgimise ja viitamise eesmärgil.

Allikad: Citizen Lab, Apple'i väljalaskemärkmed