Il Citizen Lab dell’Università di Toronto ha scoperto un nuovo exploit usato dal famigerato spyware Pegasus. BLASTPASS sfrutta due vulnerabilità zero-day di iOS 16.6 per eseguire codice arbitrario sullo smartphone. Apple ha incluso la patch nell’aggiornamento 16.6.1. I bug sono presenti anche in iPadOS, macOS e watchOS.
BLASTPASS: attenzione alle immagini
I ricercatori del Citizen Lab hanno scoperto una vulnerabilità zero-day durante l’analisi del dispositivo appartenente ad un dipendente di un’organizzazione. La vulnerabilità, indicata con CVE-2023-41064, permette di eseguire codice arbitrario sul dispositivo quando l’utente visualizza un’immagine infetta.
Grazie all’assistenza ricevuta dai ricercatori, Apple ha scoperto la seconda vulnerabilità zero-day, indicata con CVE-2023-41061 e correlata alla prima, che riguarda PassKit, il framework usato dagli sviluppatori per integrare Apple Pay nelle loro app.
L’exploit BLASTPASS sfrutta entrambe le vulnerabilità per infettare i dispositivi Apple, senza l’interazione dell’utente (zero-click). Pegasus ha usato simili tecniche in passato, ma NSO Group ha sempre sottolineato che non è responsabile delle azioni illecite dei suoi clienti.
Il Citizen Lab pubblicherà maggiori dettagli nei prossimi giorni. Gli utenti devono ovviamente installare le ultime versioni dei sistemi operati: iOS 16.6.1, iPadOS 16.6.1, macOS Ventura 13.5.2 e watchOS 9.6.2. I ricercatori consigliano inoltre di attivare il Lockdown Mode (Modalità di isolamento in italiano) che riduce le “superfici di attacco” sfruttate da Pegasus, come le immagini allegati ai messaggi.
Le patch di sicurezza verranno incluse in iOS 17 che Apple dovrebbe annunciare durante l’evento del 12 settembre. Dall’inizio dell’anno, l’azienda di Cupertino ha corretto 13 vulnerabilità zero-day, un numero piuttosto elevato per un sistema operativo considerato più sicuro di Android.
Aggiornamento (12/09/2023): Apple ha rilasciato la patch per CVE-2023-41064 anche per iOS/iPadOS 15.7.9, macOS Monterey 12.6.9 e macOS Big Sur 11.7.10.