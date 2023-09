By

Apple si trova ancora una volta ad affrontare critiche sulla vulnerabilità del suo software, poiché i ricercatori hanno scoperto un altro bug zero-day in iMessage. Questo nuovo exploit consente la diffusione dello spyware Pegasus, uno strumento di sorveglianza commerciale sviluppato da NSO Group, una società israeliana. I ricercatori di Citizen Lab, che hanno scoperto la vulnerabilità, hanno riferito che Pegasus viene attivamente utilizzato per prendere di mira gli attivisti per i diritti umani.

Pegasus è in grado di installarsi sul telefono di un utente senza richiedere alcuna interazione da parte dell'utente o fare clic su un collegamento. Una volta installato, fornisce all'hacker l'accesso completo al telefono, inclusi i suoi contenuti, fotocamere e microfono. Il gruppo NSO afferma di vendere i suoi spyware a enti governativi solo con l'approvazione del governo israeliano e nega le accuse di prendere di mira gli attivisti per i diritti umani.

Apple ha rilasciato un aggiornamento di sicurezza, iOS 16.6.1, invitando gli utenti ad aggiornare immediatamente i propri dispositivi. L'aggiornamento include patch per due vulnerabilità zero-day che sono state utilizzate contro un membro di un'organizzazione della società civile a Washington, DC. Le vulnerabilità sono state scoperte durante l'indagine sull'exploit iniziale. La modalità di blocco attivabile da Apple, progettata per migliorare le funzionalità di sicurezza e bloccare gli attacchi mirati, avrebbe impedito questi exploit specifici.

La catena di exploit, nota come BLASTPASS, prevedeva l'invio di allegati PassKit contenenti immagini dannose dall'account iMessage di un utente malintenzionato alla vittima. Apple ha emesso due CVE relativi a questa catena di exploit, CVE-2023-41064 e CVE-2023-41061. Queste vulnerabilità consentono agli autori delle minacce di eseguire codice arbitrario.

Nonostante gli sforzi di Apple per correggere le vulnerabilità zero-day, gli scettici sostengono che il software dell'azienda, in particolare iMessage, continua ad affrontare problemi di sicurezza. Apple ha corretto un totale di 13 zero-day nel 2023, inclusi problemi di buffer overflow e di convalida. L'integrazione di iMessage, messaggi di testo SMS ed e-mail ha complicato la logica e il comportamento della piattaforma, creando confusione e potenziali vulnerabilità.

La recente scoperta dell'exploit zero-day e l'uso dello spyware Pegasus nel prendere di mira gli attivisti per i diritti umani evidenziano la necessità di una vigilanza continua nell'affrontare le vulnerabilità del software. La rapida risposta di Apple nell'indagare e correggere queste vulnerabilità è encomiabile, ma sottolinea anche il fatto che exploit e spyware altamente sofisticati continuano a rappresentare rischi per la società civile.

