Hitna zakrpa za Appleove OS-ove sprječava instaliranje špijunskog softvera Pegasus
Pegasus, alat izraelskog proizvođača NSO Groupa, vjerojatno je najmoćniji softver za neprimjetno špijuniranje iPhonea. Apple ga aktivno pokušava onemogućiti, a s tom svrhom dolaze i nove zakrpe
Apple je objavio hitnu i neplaniranu zakrpu za svoje glavne operacijske sustave iOS, iPadOS, macOS i watchOS, kako bi onemogućio iskorištavanje nedavno otkrivene ranjivosti u njima. Prema dokumentima, objavljenima uz zakrpe, riječ je o propustima koji su omogućavali izvršavanje naredbi na daljinu, tj. preuzimanje kontrole nad određenim funkcijama uređaja, i to bez potrebe za korisničkom interakcijom.
Ovaj "zero click" pristup mogao je biti iskorišten za instaliranje zloglasnog špijunskog alata Pegasus, koji je razvila izraelska NSO Grupa i koji se često koristi za prisluškivanje. Apple je već u nekoliko navrata "krpao" svoje OS-ove, pa u iOS čak ugradio i "Lockdown Mode" kako bi se moglo spriječiti nastanjivanje tog softvera na uređaje.
Otkriveni "u divljini" prošloga tjedna
Nove zakrpe ispravljaju dva sigurnosna propusta. Prvi se nalazi u frameworku Image I/O, odnosno u sustavu za manipuliranje slikovnim datotekama. Otkriveno je kako taj sustav omogućava izvršavanje naredbi na daljinu, ako se na uređaju otvori posebno prerađena slika, s ugrađenim malicioznim dodatkom. Drugi propust otkriven je u aplikaciji digitalnog novčanika, Wallet. Rezultat propusta mogao je biti isti – pošalje li se na uređaj namjenski prerađen dokument, on otvara vrata za pokretanje programskog koda na daljinu, ili instaliranje Pegasusa, koji je u stanju načiniti daleko više štete.
Propuste su otkrili istraživači Citizen Laba prošloga tjedna, pregledavajući iPhone jedne osobe, zaposlene u neimenovanoj organizaciji civilnog društva u Washingtonu. Stručnjaci su na njemu pronašli Pegasusa, a potom uspjeli identificirati i način njegovog instaliranja u iOS 16.6. Kažu kako je riječ o ozbiljnoj ranjivosti, jer žrtvi napada uređaj može biti kompromitiran jednostavno, slanjem slike ili privitka putem poruka (WhatsAppom ili slično) ili otvaranjem zaražene datoteke kroz preglednik Safari. Kritični su propusti katalogizirani pod brojevima CVE-2023-41064 i CVE-2023-41061 te prijavljeni Appleu, koji je žurno izdao zakrpe za njih.
iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 i watchOS 9.6.2 dostupni su za over-the-air nadogradnju već sada, a najtoplija je preporuka preuzeti ih i instalirati odmah, budući da napadači očito već aktivno koriste opisane sigurnosne rupe.
