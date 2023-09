Ang Apple ay muling nahaharap sa pagpuna sa kahinaan ng software nito, dahil natuklasan ng mga mananaliksik ang isa pang zero-day bug sa iMessage. Ang bagong pagsasamantalang ito ay nagbibigay-daan sa paghahatid ng Pegasus spyware, isang komersyal na tool sa pagsubaybay na binuo ng NSO Group, isang kumpanyang Israeli. Ang mga mananaliksik ng Citizen Lab, na natuklasan ang kahinaan, ay nag-ulat na ang Pegasus ay aktibong ginagamit upang i-target ang mga aktibistang karapatang pantao.

Ang Pegasus ay may kakayahang i-install ang sarili nito sa telepono ng isang user nang hindi nangangailangan ng anumang pakikipag-ugnayan ng user o pag-click sa isang link. Kapag na-install, binibigyan nito ang hacker ng kumpletong access sa telepono, kasama ang mga nilalaman nito, mga camera, at mikropono. Sinasabi ng NSO Group na ibinebenta lamang nito ang spyware nito sa mga entity ng gobyerno na may pag-apruba ng gobyerno ng Israel at tinatanggihan ang mga paratang ng pag-target sa mga aktibista ng karapatang pantao.

Naglabas ang Apple ng update sa seguridad, iOS 16.6.1, na humihimok sa mga user na i-update kaagad ang kanilang mga device. Kasama sa update ang mga patch para sa dalawang zero-day na kahinaan na ginamit laban sa isang miyembro ng isang civil society organization sa Washington, DC Natuklasan ang mga kahinaan habang sinisiyasat ang unang pagsasamantala. Ang opt-in na Lockdown Mode ng Apple, na idinisenyo upang mapahusay ang mga feature ng seguridad at harangan ang mga naka-target na pag-atake, ay mapipigilan ang mga partikular na pagsasamantalang ito.

Kasama sa exploit chain, na kilala bilang BLASTPASS, ang pagpapadala ng mga attachment ng PassKit na naglalaman ng mga malisyosong larawan mula sa iMessage account ng attacker sa biktima. Nagbigay ang Apple ng dalawang CVE na nauugnay sa pagsasamantalang chain na ito, CVE-2023-41064 at CVE-2023-41061. Ang mga kahinaang ito ay nagpapahintulot sa mga aktor ng pagbabanta na magsagawa ng arbitrary code.

Sa kabila ng mga pagsisikap ng Apple na i-patch ang mga zero-day na kahinaan, ang mga may pag-aalinlangan ay nagtalo na ang software ng kumpanya, lalo na ang iMessage, ay patuloy na nahaharap sa mga isyu sa seguridad. Naayos ng Apple ang kabuuang 13 zero-days noong 2023, kabilang ang mga isyu sa buffer overflow at validation. Ang pagsasama-sama ng iMessages, SMS text message, at email ay naging kumplikado sa lohika at pag-uugali ng platform, na humahantong sa pagkalito at mga potensyal na kahinaan.

Ang kamakailang pagtuklas ng zero-day exploit at ang paggamit ng Pegasus spyware sa pag-target sa mga aktibistang karapatang pantao ay nagpapakita ng pangangailangan para sa patuloy na pagbabantay sa pagtugon sa mga kahinaan ng software. Kapuri-puri ang mabilis na pagtugon ng Apple sa pagsisiyasat at pag-aayos ng mga kahinaan na ito, ngunit binibigyang-diin din nito ang katotohanan na ang napakahusay na pagsasamantala at spyware ay patuloy na nagdudulot ng mga panganib sa civil society.

