Dei ricercatori di CitizenLab hanno comunicato che nella giornata di ieri Apple ha avviato una procedura di emergenza per effettuare un aggiornamento di sicurezza dei dispositivi Iphone, dopo aver scoperto due vulnerabilità zero-click (CVE-2023-41064 e CVE-2023-41061) che venivano attivamente sfruttate dallo spyware Pegasus di NSO Group per infettare i device.
Secondo i ricercatori, le due vulnerabilità venivano concatenate come parte di un exploit zero-click[1], denominato BLASTPASS, utilizzato in attacchi su iPhone che eseguono l’ultima versione di iOS (16.6), il tutto sfruttando allegati PassKit contenenti immagini malevole inviati al bersaglio dall’account iMessage dell’attaccante.
Gli esperti prevedono di pubblicare dettagli tecnici sulla catena di exploit BLASTPASS in futuro.
Citizen Lab raccomanda infine agli utenti di iPhone di aggiornare immediatamente i loro dispositivi.
L’organizzazione ha sottolineato come la società civile sia continuamente bersagliata da threat actor che utilizzano exploit e spyware altamente sofisticati.
Apple ha già corretto 13 vulnerabilità zero-day attivamente sfruttate solo nel 2023:
- Luglio 2023 – CVE-2023-37450 e CVE-2023-38606.
- Giugno 2023 – CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439.
- Maggio 2023 – CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373.
- Aprile 2023 – CVE-2023-28206 e CVE-2023-28205.
- Febbraio 2023 – CVE-2023-23529.
Riferimenti
| ↑1 | Attacchi, dunque, che non prevedono alcuna interazione da parte della vittima. |
|---|
