Apple volve enfrontarse ás críticas pola vulnerabilidade do seu software, xa que os investigadores descubriron outro erro de día cero en iMessage. Este novo exploit permite a entrega do spyware Pegasus, unha ferramenta de vixilancia comercial desenvolvida por NSO Group, unha empresa israelí. Os investigadores do Citizen Lab, que descubriron a vulnerabilidade, informaron de que Pegasus está sendo utilizado activamente para atacar a activistas dos dereitos humanos.

Pegasus é capaz de instalarse no teléfono dun usuario sen requirir ningunha interacción do usuario nin facer clic nunha ligazón. Unha vez instalado, proporciona ao hacker acceso completo ao teléfono, incluíndo o seu contido, cámaras e micrófono. O Grupo NSO afirma que só vende o seu software espía a entidades gobernamentais coa aprobación do goberno israelí e nega as acusacións de atacar a activistas dos dereitos humanos.

Apple lanzou unha actualización de seguranza, iOS 16.6.1, instando aos usuarios a actualizar os seus dispositivos inmediatamente. A actualización inclúe parches para dúas vulnerabilidades de día cero que se utilizaron contra un membro dunha organización da sociedade civil en Washington, DC. As vulnerabilidades foron descubertas mentres se investigaba o exploit inicial. O modo de bloqueo de Apple, deseñado para mellorar as funcións de seguridade e bloquear ataques dirixidos, evitaría estes exploits específicos.

A cadea de explotación, coñecida como BLASTPASS, implicaba o envío de anexos PassKit que contiñan imaxes maliciosas desde a conta iMessage dun atacante á vítima. Apple emitiu dous CVE relacionados con esta cadea de explotación, CVE-2023-41064 e CVE-2023-41061. Estas vulnerabilidades permiten aos axentes de ameazas executar código arbitrario.

A pesar dos esforzos de Apple para reparar as vulnerabilidades de día cero, os escépticos argumentan que o software da compañía, especialmente iMessage, segue a enfrontarse a problemas de seguridade. Apple arranxou un total de 13 días cero en 2023, incluíndo problemas de desbordamento do búfer e de validación. A integración de iMessages, mensaxes de texto SMS e correo electrónico complicou a lóxica e o comportamento da plataforma, provocando confusión e posibles vulnerabilidades.

O descubrimento recente do exploit de día cero e o uso do software espía Pegasus para dirixirse aos activistas dos dereitos humanos destacan a necesidade dunha vixilancia continua para abordar as vulnerabilidades do software. A rápida resposta de Apple á hora de investigar e reparar estas vulnerabilidades é encomiable, pero tamén subliña o feito de que as explotacións altamente sofisticadas e o spyware seguen supoñendo riscos para a sociedade civil.

