I ricercatori di Citizen Lab avevano scoperto una vulnerabilità “zero-click” in iOS che è stata sfruttata per spiare alcune persone con il noto tool Pegasus di NSO Group. Apple ha ora rilasciato una patch che chiude la falla di sicurezza. Il bug è presente anche in iPadOS, macOS e watchOS, quindi è consigliabile installare i rispettivi aggiornamenti.
ForcedEntry: exploit per lo spionaggio
Gli esperti di Citizen Lab hanno trovato tracce dell’exploit esaminando l’iPhone di un attivista saudita. All’interno del backup iTunes sono stati individuati diversi file GIF che in realtà erano file PSD e PDF installati dal tool Pegasus. ForcedEntry poteva eludere la funzionalità BlastDoor di iOS, consentendo di accedere al contenuto dello smartphone senza interazione dell’utente (da cui il termine “zero-click”).
Citizen Lab ha segnalato il bug ad Apple il 7 settembre. L’azienda di Cupertino ha quindi rilasciato iOS 14.8 e iPadOS 14.8 per risolvere il problema di sicurezza nel componente CoreGraphics, identificato con CVE-2021-30860. L’aggiornamento risolve un’altra vulnerabilità (CVE-2021-30858) in WebKit. Entrambi sono presenti anche su Mac, quindi è stata distribuita la nuova versione macOS Big Sur 11.6.
La vulnerabilità ForcedEntry è presente inoltre su watchOS e la precedente versione del sistema operativo per Mac (Catalina). Gli utenti devono quindi installare le ultime versioni nel minor tempo possibile. Un ingegnere di Apple ha ringraziato Citizen Lab, sottolineando che simili exploit sono molto sofisticati, richiedono investimenti milionari per lo sviluppo e sono utilizzati solo per eseguire attacchi contro specifici target.