By

Apple steet nach eng Kéier mat der Kritik iwwer d'Schwachheet vu senger Software, well d'Fuerscher en aneren Null-Dag-Bug an iMessage entdeckt hunn. Dësen neien Exploit erlaabt d'Liwwerung vun der Pegasus Spyware, e kommerziellen Iwwerwaachungsinstrument entwéckelt vun der NSO Group, enger israelescher Firma. Citizen Lab Fuerscher, déi d'Schwachheet entdeckt hunn, hu gemellt datt Pegasus aktiv benotzt gëtt fir Mënscherechtsaktivisten ze zielen.

Pegasus ass fäeg sech selwer op engem Benotzer säin Telefon z'installéieren ouni eng Benotzerinteraktioun ze erfuerderen oder op e Link ze klicken. Eemol installéiert, gëtt et den Hacker kompletten Zougang zum Telefon, dorënner säin Inhalt, Kameraen a Mikrofon. D'NSO Group behaapt datt et nëmme seng Spyware u Regierungsentitéite verkeeft mat der Genehmegung vun der israelescher Regierung a refuséiert Uklo fir Mënscherechtsaktivisten ze zielen.

Apple huet e Sécherheetsupdate verëffentlecht, iOS 16.6.1, deen d'Benotzer fuerdert hir Apparater direkt ze aktualiséieren. D'Aktualiséierung enthält Patches fir zwee Null-Dag Schwachstelle, déi géint e Member vun enger Zivilgesellschaft Organisatioun zu Washington, DC benotzt goufen. Apple's Opt-In Lockdown Mode, entwéckelt fir Sécherheetsfeatures ze verbesseren an geziilt Attacken ze blockéieren, hätt dës spezifesch Ausnotzen verhënnert.

D'Exploitatiounskette, bekannt als BLASTPASS, huet involvéiert PassKit Uschlëss mat béiswëlleg Biller vum iMessage Kont vun engem Ugräifer un d'Affer ze schécken. Apple huet zwee CVEs am Zesummenhang mat dëser Exploit Kette erausginn, CVE-2023-41064 an CVE-2023-41061. Dës Schwachstelle erlaben Bedrohungsakteuren arbiträr Code auszeféieren.

Trotz dem Apple seng Efforten fir Null-Dag Schwachstelle ze patchen, behaapten Skeptiker datt d'Software vun der Firma, besonnesch iMessage, weider Sécherheetsprobleemer konfrontéiert ass. Apple huet am Joer 13 insgesamt 2023 Null-Deeg fixéiert, inklusiv Pufferiwwerfluss a Validatiounsprobleemer. D'Integratioun vun iMessages, SMS SMSen an E-Mail huet d'Logik an d'Behuele vun der Plattform komplizéiert, wat zu Duercherneen a potenziell Schwachstelle féiert.

Déi rezent Entdeckung vum Zero-Day Exploit an d'Benotzung vu Pegasus Spyware fir Mënscherechtsaktivisten ze zielen ënnersträichen d'Noutwendegkeet fir weider Vigilance bei der Adresséierung vu Software Schwachstelle. Dem Apple seng séier Äntwert bei der Untersuchung an der Patch vun dëse Schwachstelle ass luewenswäert, awer et ënnersträicht och d'Tatsaach datt héich raffinéiert Exploiten a Spyware weider Risiken fir d'Zivilgesellschaft stellen.

Quellen:

- [Quell 1 - Apple verëffentlecht grouss Sécherheetsupdate]

- [Quell 2 - Apple fixéiert Nulldeeg Bugs]

- [Source 3 - Zero-Click, Zero-Day Exploit Captured in the Wild]