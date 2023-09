By

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydała ostrzeżenie dla agencji federalnych, wzywając je do aktualizacji urządzeń iOS, iPadOS i macOS w ciągu miesiąca. Jest to odpowiedź na wykrycie dwóch luk typu zero-day w produktach Apple, które mogą potencjalnie zostać wykorzystane w atakach oprogramowania szpiegującego.

Pierwsza luka, znana jako CVE-2023-41064, to luka w zabezpieczeniach związana z przepełnieniem bufora w ImageIO. Dzieje się tak podczas przetwarzania specjalnie spreparowanego obrazu i może prowadzić do wykonania kodu. Druga luka, CVE-2023-41061, to problem z weryfikacją w Apple Wallet. Złośliwie spreparowany załącznik może spowodować wykonanie kodu.

Organizacja non-profit Citizen Lab odkryła niedawno te luki w zabezpieczeniach w ramach łańcucha exploitów o nazwie „BlastPass”. Łańcuch ten został wykorzystany do dostarczenia oprogramowania szpiegującego Pegasus pracownikowi organizacji społeczeństwa obywatelskiego z siedzibą w Waszyngtonie. Citizen Lab ujawniło, że exploit wykorzystywał załączniki PassKit zawierające złośliwe obrazy wysyłane za pośrednictwem iMessage.

Chociaż nie jest jasne, kto zezwolił na te ataki, istnieje obawa, że ​​mogą one zostać również wykorzystane przeciwko urzędnikom rządu USA, jeśli zostaną przeprowadzone przez wrogie państwo. W przeszłości zgłaszano podobne ataki oprogramowania szpiegującego, a w 2021 r. dziewięciu urzędników Departamentu Stanu USA zostało zdalnie zhakowanych na swoich iPhone'ach.

Apple zdecydowało się podjąć kroki prawne przeciwko izraelskiej firmie NSO Group, która prawdopodobnie jest odpowiedzialna za rozwój i sprzedaż oprogramowania szpiegującego Pegasus. Grupa NSO twierdzi, że jej produkty są przeznaczone do zgodnych z prawem celów egzekwowania prawa i gromadzenia danych wywiadowczych.

Aby ograniczyć ryzyko ataków oprogramowania szpiegującego, agencje federalne mają czas do 2 października na załatanie wykrytych luk za pomocą oficjalnych aktualizacji dostawców. Niezastosowanie się do tego może skutkować zaprzestaniem korzystania z produktów Apple.

Źródła:

– „Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wzywa do natychmiastowego załatania znanych luk w zabezpieczeniach Apple” – CISA

– „BlastPass: mobilne wykorzystanie iMessage firmy Apple bez kliknięć” – Citizen Lab