Apple wurdt opnij krityk oer de kwetsberens fan har software, om't ûndersikers in oare nul-dei-bug yn iMessage hawwe ûntdutsen. Dizze nije eksploitaasje lit de levering fan 'e Pegasus spyware, in kommersjeel tafersjoch-ark ûntwikkele troch NSO Group, in Israelysk bedriuw. Undersikers fan Citizen Lab, dy't de kwetsberens ûntdutsen, hawwe rapportearre dat Pegasus aktyf wurdt brûkt om rjochte op minskerjochteaktivisten.

Pegasus is by steat om te ynstallearjen himsels op in brûker syn telefoan sûnder easkje brûker ynteraksje of klikken op in keppeling. Ien kear ynstalleare, jout it de hacker folsleine tagong ta de tillefoan, ynklusyf de ynhâld, kamera's en mikrofoan. De NSO-groep beweart dat it har spyware allinich ferkeapet oan oerheidsentiteiten mei de goedkarring fan 'e Israelyske regearing en ûntkent beskuldigingen fan rjochte op minskerjochteaktivisten.

Apple hat in befeiligingsupdate frijlitten, iOS 16.6.1, dy't brûkers oanmoedigje om har apparaten fuortendaliks te aktualisearjen. De fernijing omfettet patches foar twa nul-dei-kwetsberheden dy't waarden brûkt tsjin in lid fan in boargerlike organisaasje yn Washington, DC. Apple's opt-in Lockdown Mode, ûntworpen om feiligensfunksjes te ferbetterjen en doelgerichte oanfallen te blokkearjen, soe dizze spesifike eksploaten hawwe foarkommen.

De eksploitaasjeketen, bekend as BLASTPASS, belutsen by it ferstjoeren fan PassKit-bylagen mei kweade ôfbyldings fan it iMessage-akkount fan in oanfaller nei it slachtoffer. Apple hat twa CVE's útjûn relatearre oan dizze eksploitaasjeketen, CVE-2023-41064 en CVE-2023-41061. Dizze kwetsberens kinne bedrigingsakteurs willekeurige koade útfiere.

Nettsjinsteande Apple's ynspanningen om kwetsberheden fan nul dagen te reparearjen, beweare skeptisy dat de software fan it bedriuw, benammen iMessage, bliuwt te krijen mei feiligensproblemen. Apple hat yn 13 in totaal fan 2023 nul-dagen repareare, ynklusyf problemen mei bufferoverflow en falidaasje. De yntegraasje fan iMessages, SMS-tekstberjochten en e-post hat de logika en gedrach fan it platfoarm komplisearre, wat liedt ta betizing en potinsjele kwetsberens.

De resinte ûntdekking fan 'e nul-dei eksploitaasje en it brûken fan Pegasus-spyware by it rjochtsjen fan minskerjochtenaktivisten markearje de needsaak foar trochgeande waaksichheid by it oanpakken fan software-kwetsberheden. Apple's rappe reaksje by it ûndersiikjen en reparearjen fan dizze kwetsberens is lofberens, mar it ûnderstreket ek it feit dat heul ferfine eksploaten en spyware trochgean mei risiko's foar de boargerlike maatskippij.

