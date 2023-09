Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA) je izdala opozorilo zveznim agencijam in jih pozvala, naj posodobijo svoje naprave iOS, iPadOS in macOS v enem mesecu. To je odgovor na odkritje dveh ranljivosti zero-day v Applovih izdelkih, ki bi jih potencialno lahko izkoristili napadi vohunske programske opreme.

Prva ranljivost, znana kot CVE-2023-41064, je ranljivost prekoračitve medpomnilnika v ImageIO. Pojavi se pri obdelavi posebej izdelane slike in lahko povzroči izvajanje kode. Druga ranljivost, CVE-2023-41061, je težava pri preverjanju v Apple Wallet. Zlonamerno izdelana priloga lahko povzroči izvajanje kode.

Citizen Lab, neprofitna organizacija, je nedavno odkrila te ranljivosti kot del verige izkoriščanja, imenovane »BlastPass«. Ta veriga je bila uporabljena za dostavo vohunske programske opreme Pegasus uslužbencu organizacije civilne družbe s sedežem v Washingtonu. Citizen Lab je razkril, da je izkoriščanje uporabilo priloge PassKit, ki vsebujejo zlonamerne slike, poslane prek iMessage.

Čeprav ni jasno, kdo je odobril te napade, obstaja zaskrbljenost, da bi jih lahko uporabili tudi za tarče uradnikov ameriške vlade, če bi jih izvedla sovražna država. V preteklosti so poročali o podobnih napadih z vohunsko programsko opremo, pri čemer so leta 2021 devetim uradnikom zunanjega ministrstva ZDA na daljavo vdrli v telefon iPhone.

Apple se je odločil sprožiti pravni postopek proti izraelskemu podjetju NSO Group, ki naj bi bilo odgovorno za razvoj in prodajo vohunske programske opreme Pegasus. Skupina NSO trdi, da so njeni izdelki namenjeni zakonitemu kazenskemu pregonu in zbiranju obveščevalnih podatkov.

Za zmanjšanje tveganja napadov vohunske programske opreme imajo zvezne agencije čas do 2. oktobra, da popravijo odkrite ranljivosti prek uradnih posodobitev prodajalca. Če tega ne storite, lahko prenehate uporabljati te izdelke Apple.

