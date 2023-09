Recentemente descubriuse unha vulnerabilidade de día cero e clic cero dirixida aos dispositivos Apple, que provocou a entrega do famoso spyware Pegasus aos iPhones. O exploit, coñecido como BLASTPASS, evita ata a última versión de iOS (16.6) mediante a utilización de anexos PassKit que conteñen imaxes maliciosas. Unha vez que estes anexos se envían á conta iMessage da vítima, o programa espía Pegasus do Grupo NSO pódese implementar sen necesidade de interacción.

O equipo de investigación do Citizen Lab notificou a Apple inmediatamente despois de descubrir un dispositivo infectado pertencente a unha persoa empregada por unha organización da sociedade civil con sede en Washington DC, con alcance internacional. En resposta, Apple asignou rapidamente dous identificadores de vulnerabilidades e exposicións comúns (CVE) á cadea de explotación (CVE-2023-41064 e CVE-2023-41061) e lanzou actualizacións para iOS e iPadOS. Recoméndaselles aos usuarios en risco que habiliten o modo de bloqueo, que bloquea efectivamente o ataque.

Aínda que Citizen Lab aínda non ofrece máis detalles sobre a cadea de explotación, as notas de lanzamento de Apple arroxan algo de luz sobre as vulnerabilidades. O CVE-2023-41064 atribúese a un problema de desbordamento do búfer en ImageIO, onde o procesamento dunha imaxe creada de forma maliciosa pode provocar a execución de código arbitrario. Mentres tanto, a aplicación Wallet viuse afectada por CVE-2023-41061 debido a un anexo creado de forma maliciosa, que foi abordado por Apple mediante unha lóxica mellorada para a validación.

O spyware Pegasus, desenvolvido polo grupo NSO de Israel, é unha ferramenta moi controvertida que afirma ser vendida exclusivamente a axencias gobernamentais lexítimas. Unha vez instalado, este software espía pode supervisar chamadas, mensaxes e utilizar a cámara do teléfono. A pesar das afirmacións do Grupo NSO de autorizar o software espía para loitar contra os criminais, o seu uso suscita preocupacións entre os lexisladores e os activistas da privacidade. Citizen Lab descubriu previamente a presenza de Pegasus en dispositivos do goberno do Reino Unido.

Para protexerse contra estes exploits, é fundamental actualizar inmediatamente os dispositivos iOS e iPadOS. A rápida resposta de Apple e o ciclo de parches, combinados coa colaboración da organización vítima, foron elogiados por Citizen Lab polos seus esforzos para abordar esta vulnerabilidade.

Definicións:

Vulnerabilidade de día cero: unha vulnerabilidade de software descuberta polos axentes de ameazas antes de que sexa coñecida polos provedores ou desenvolvedores de software, que pode permitir accesos non autorizados ou actividades maliciosas.

Explotación: unha peza de software, código ou técnica que aproveita unha vulnerabilidade nun sistema, aplicación ou software para realizar accións maliciosas ou obter acceso non autorizado.

Pegasus spyware: unha poderosa ferramenta de spyware desenvolvida polo NSO Group que pode infiltrarse e supervisar de xeito encuberto varios aspectos dun dispositivo de destino, incluíndo chamadas, mensaxes e uso da cámara.

PassKit: servizo proporcionado por Apple que permite a distribución de pases, como entradas, cupóns e tarxetas de socio, a través da aplicación Apple Wallet do usuario.

CVE (Vulnerabilidades e exposicións comúns): un identificador estandarizado asignado a unha vulnerabilidade ou problema de seguridade específico para o seguimento e referencia.

Fontes: Citizen Lab, notas de lanzamento de Apple