Recentemente è stata scoperta una vulnerabilità zero-click e zero-day che prende di mira i dispositivi Apple, con conseguente diffusione del famigerato spyware Pegasus sugli iPhone. L'exploit, noto come BLASTPASS, aggira anche l'ultima versione di iOS (16.6) utilizzando allegati PassKit contenenti immagini dannose. Una volta inviati questi allegati all'account iMessage della vittima, lo spyware Pegasus del gruppo NSO può essere distribuito senza alcuna interazione richiesta.

Il team di ricerca di Citizen Lab ha prontamente informato Apple dopo aver scoperto un dispositivo infetto appartenente a un dipendente di un'organizzazione della società civile con sede a Washington DC, con portata internazionale. In risposta, Apple ha rapidamente assegnato due identificatori CVE (Common Vulnerabilities and Exposures) alla catena di exploit – CVE-2023-41064 e CVE-2023-41061 – e ha rilasciato aggiornamenti per iOS e iPadOS. Agli utenti a rischio è stato consigliato di abilitare la modalità di blocco, che blocca efficacemente l'attacco.

Mentre ulteriori dettagli sulla catena di exploit devono ancora essere forniti da Citizen Lab, le note di rilascio di Apple fanno luce sulle vulnerabilità. CVE-2023-41064 è attribuito a un problema di overflow del buffer in ImageIO, in cui l'elaborazione di un'immagine dannosa può portare all'esecuzione di codice arbitrario. Nel frattempo, l’app Wallet è stata colpita da CVE-2023-41061 a causa di un allegato dannoso, che è stato risolto da Apple attraverso una logica di convalida migliorata.

Lo spyware Pegasus, sviluppato dal gruppo israeliano NSO, è uno strumento altamente controverso che afferma di essere venduto esclusivamente ad agenzie governative legittime. Una volta installato, questo spyware può monitorare chiamate, messaggi e utilizzare la fotocamera del telefono. Nonostante le affermazioni di NSO Group di concedere in licenza lo spyware per combattere i criminali, il suo utilizzo ha sollevato preoccupazioni tra i legislatori e gli attivisti della privacy. Citizen Lab aveva già scoperto la presenza di Pegasus sui dispositivi del governo britannico.

Per proteggersi da questi exploit, è fondamentale aggiornare immediatamente i dispositivi iOS e iPadOS. La rapida risposta e il ciclo di patch di Apple, combinati con la collaborazione dell'organizzazione vittima, sono stati elogiati da Citizen Lab per gli sforzi profusi nell'affrontare questa vulnerabilità.

Definizioni:

Vulnerabilità zero-day: una vulnerabilità del software che viene scoperta dagli autori delle minacce prima che sia nota ai fornitori o agli sviluppatori del software, consentendo potenzialmente l'accesso non autorizzato o attività dannose.

Exploit: parte di software, codice o tecnica che sfrutta una vulnerabilità in un sistema, un'applicazione o un software per eseguire azioni dannose o ottenere accesso non autorizzato.

Spia Pegasus: un potente strumento spyware sviluppato dal gruppo NSO in grado di infiltrarsi e monitorare di nascosto vari aspetti di un dispositivo di destinazione, tra cui chiamate, messaggi e utilizzo della fotocamera.

PassKit: un servizio fornito da Apple che consente la distribuzione di abbonamenti, come biglietti, coupon e tessere associative, tramite l'applicazione Apple Wallet dell'utente.

CVE (Common Vulnerabilities and Exposures): un identificatore standardizzato assegnato a una specifica vulnerabilità o problema di sicurezza a scopo di tracciamento e riferimento.

Fonti: Citizen Lab, note sulla versione di Apple