Dopo i problemi avuti qualche mese fa, Apple si trova a combattere ancora contro uno spyware chiamato Pegasus di NSO Group che sfrutta due falle zero-day.

I problemi sono descritti di seguito:

• CVE-2023-41061- Un problema di convalida in Wallet che potrebbe comportare l’esecuzione di codice arbitrario durante la gestione di un allegato dannoso.
• CVE-2023-41064- Un problema di overflow del buffer nel componente I/O immagine che potrebbe comportare l’esecuzione di codice arbitrario durante l’elaborazione di un’immagine dannosa.

Mentre CVE-2023-41064 è stato trovato dal Citizen Lab presso la Munk School dell’Università di Toronto, CVE-2023-41061 è stato scoperto internamente da Apple, con “l’assistenza” del Citizen Lab.

Gli aggiornamenti sono disponibili per i seguenti dispositivi e sistemi operativi:

• iOS 16.6.1 e iPadOS 16.6.1– iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi
• macOS Ventura 13.5.2: dispositivi macOS che eseguono macOS Ventura
• watchOS 9.6.2– Apple Watch Serie 4 e versioni successive

In un allert separato, Citizen Lab ha rivelato che le due falle gemelle sono state utilizzate come arma facente parte di una catena di exploit iMessage a zero clic denominata BLASTPASS, che serviva per distribuire Pegasus su iPhone con patch complete su iOS 16.6.

“La catena di exploit è stata in grado di compromettere gli iPhone che hanno l’ultima versione di iOS (16.6) senza alcuna interazione da parte della vittima”, ha affermato il laboratorio interdisciplinare . “L’exploit coinvolgeva allegati PassKit contenenti immagini dannose inviate da un account iMessage dell’aggressore alla vittima.”

Delle altre specifiche tecniche sui vari difetti sono state omesse alla luce dello sfruttamento delle falle in corso da parte di hackers. Detto questo, si dice che l’exploit aggiri il framework sandbox BlastDoor creato da Apple per limitare gli attacchi zero-click.

“Quest’ultima scoperta mostra ancora una volta che la società civile è presa di mira da attacchi altamente sofisticati e spyware performanti“, ha affermato Citizen Lab, aggiungendo che i problemi sono stati rilevati la settimana scorsa durante l’esame del dispositivo di un individuo non identificato impiegato in un’organizzazione con sede a Washington DC e con altre sedi internazionali.

Apple ha finora corretto un totale di 13 bug zero-day sul suo software dall’inizio dell’anno. Gli ultimi aggiornamenti arrivano a più di un mese dopo che la società ha rilasciato le correzioni per un difetto del kernel sfruttato attivamente.

La notizia degli zero-day arriva contemporaneamente a quella secondo cui il governo cinese abbia ordinato un divieto che proibisca, ai funzionari del governo centrale e statale, di utilizzare iPhone e altri dispositivi di marca straniera per lavoro, nel tentativo di ridurre la dipendenza dalla tecnologia estera e nel mezzo di una crescente crisi, a livello commerciale, tra la Cina e gli USA

“La vera ragione (del divieto) è: la sicurezza informatica”, ha detto Zuk Avraham, ricercatore sulla sicurezza e fondatore di Zimperium, in un post su X (ex Twitter). “L’iPhone ha l’immagine di essere il telefono più sicuro… ma in realtà l’iPhone non è affatto sicuro contro il semplice spionaggio.”

“Non mi credete? Basta guardare al numero di exploit zero-clic che aziende commerciali come NSO hanno avuto a disposizione nel corso degli anni, per capire che non c’è quasi nulla che un individuo, un’organizzazione o un governo possano fare per proteggersi dallo spionaggio informatico tramite iPhone .”