Apple je objavio hitnu i neplaniranu zakrpu za svoje glavne operativne sisteme iOS, iPadOS, macOS i watchOS, kako bi onemogućio iskorištavanje nedavno otkrivene ranjivosti u njima. Prema dokumentima, objavljenima uz zakrpe, riječ je o propustima koji su omogućavali izvršavanje naredbi na daljinu, tj. preuzimanje kontrole nad određenim funkcijama uređaja, i to bez potrebe za korisničkom interakcijom.
Ovaj "zero click" pristup mogao je biti iskorišten za instaliranje zloglasnog špijunskog alata Pegasus, koji je razvila izraelska NSO Grupa i koji se često koristi za prisluškivanje. Apple je već u nekoliko navrata "krpao" svoje OS-ove, pa u iOS čak ugradio i "Lockdown Mode" kako bi se moglo spriječiti nastanjivanje tog softvera na uređaje.
Nove zakrpe ispravljaju dva sigurnosna propusta. Prvi se nalazi u frameworku Image I/O, odnosno u sistemu za manipuliranje slikovnim datotekama. Otkriveno je kako taj sistem omogućava izvršavanje naredbi na daljinu, ako se na uređaju otvori posebno prerađena slika, s ugrađenim malicioznim dodatkom. Drugi propust otkriven je u aplikaciji digitalnog novčanika, Wallet. Rezultat propusta mogao je biti isti – pošalje li se na uređaj namjenski prerađen dokument, on otvara vrata za pokretanje programskog koda na daljinu, ili instaliranje Pegasusa, koji je u stanju načiniti daleko više štete.
🚨🚨WE URGE EVERYONE TO UPDATE THEIR APPLE DEVICES AS SOON AS POSSIBLE.
— Citizen Lab (@citizenlab) September 7, 2023
We have found an actively exploited #zero #click vulnerability that was used to deliver #NSO group’s #Pegasus #spyware. https://t.co/BS0ZI4QuIz
Propuste su otkrili istraživači Citizen Laba prošloga tjedna, pregledavajući iPhone jedne osobe, zaposlene u neimenovanoj organizaciji civilnog društva u Washingtonu. Stručnjaci su na njemu pronašli Pegasusa, a potom uspjeli identificirati i način njegovog instaliranja u iOS 16.6. Kažu kako je riječ o ozbiljnoj ranjivosti, jer žrtvi napada uređaj može biti kompromitiran jednostavno, slanjem slike ili privitka putem poruka (WhatsAppom ili slično) ili otvaranjem zaražene datoteke kroz preglednik Safari. Kritični su propusti katalogizirani pod brojevima CVE-2023-41064 i CVE-2023-41061 te prijavljeni Appleu, koji je žurno izdao zakrpe za njih.
iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 i watchOS 9.6.2 dostupni su za over-the-air nadogradnju već sada, a najtoplija je preporuka preuzeti ih i instalirati odmah, budući da napadači očito već aktivno koriste opisane sigurnosne rupe.
