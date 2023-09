De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale instanties een waarschuwing gegeven en er bij hen op aangedrongen hun iOS-, iPadOS- en macOS-apparaten binnen een maand te updaten. Dit is een reactie op de ontdekking van twee zero-day-kwetsbaarheden in Apple-producten die mogelijk kunnen worden uitgebuit door spyware-aanvallen.

De eerste kwetsbaarheid, bekend als CVE-2023-41064, is een bufferoverflow-kwetsbaarheid in ImageIO. Het treedt op bij het verwerken van een speciaal vervaardigde afbeelding en kan leiden tot uitvoering van code. De tweede kwetsbaarheid, CVE-2023-41061, is een validatieprobleem in Apple Wallet. Een kwaadwillig vervaardigde bijlage kan leiden tot het uitvoeren van code.

Citizen Lab, een non-profitorganisatie, heeft deze kwetsbaarheden onlangs ontdekt als onderdeel van een exploitketen genaamd ‘BlastPass’. Deze keten werd gebruikt om de Pegasus-spyware af te leveren aan een medewerker van een in Washington gevestigde maatschappelijke organisatie. Citizen Lab onthulde dat de exploit gebruik maakte van PassKit-bijlagen met kwaadaardige afbeeldingen die via iMessage werden verzonden.

Hoewel het onduidelijk is wie deze aanvallen heeft goedgekeurd, bestaat er bezorgdheid dat ze ook kunnen worden gebruikt om Amerikaanse overheidsfunctionarissen aan te vallen als ze worden uitgevoerd door een vijandige natie. In het verleden zijn soortgelijke spyware-aanvallen gemeld, waarbij in 2021 bij negen functionarissen van het Amerikaanse ministerie van Buitenlandse Zaken hun iPhone op afstand werd gehackt.

Apple heeft besloten juridische stappen te ondernemen tegen het Israëlische bedrijf NSO Group, dat verantwoordelijk wordt geacht voor de ontwikkeling en verkoop van de Pegasus-spyware. NSO Group beweert dat haar producten bedoeld zijn voor legitieme doeleinden van wetshandhaving en het verzamelen van inlichtingen.

Om het risico op spyware-aanvallen te beperken, hebben federale instanties tot 2 oktober de tijd om de ontdekte kwetsbaarheden te patchen via officiële leveranciersupdates. Als u dit niet doet, kan dit ertoe leiden dat u deze Apple-producten niet meer gebruikt.

