אפל פרסמה ביום חמישי האחרון עדכוני אבטחה שמתקנים פרצות אבטחה חמורות, אותן חולשות יכולות להוביל למתקפת אפס ימים - כלומר טכניקות פריצה שלא היו ידועות בזמן שאפל גילתה עליהן.
מכון המחקר Citizen Lab, החוקר תוכנות זדוניות, פרסם פוסט קצר בבלוג המסביר שבשבוע שעבר הם מצאו פגיעות של מתקפות אפס קליקים - כלומר היעד של ההאקרים לא צריך להקיש או ללחוץ על שום לינק - ומשמשות כדי לתקוף קורבנות עם תוכנות זדוניות. החוקרים אמרו שהפגיעות שימשה כחלק משרשרת ניצול שנועדה להשתיל את התוכנה הזדונית הידוע לשמצה "פגסוס" של חברת NSO Group הישראלית.
"הפרצה הייתה מסוגלת לסכן מכשירי אייפון המריצים את הגרסה האחרונה של iOS (16.6) ללא כל אינטראקציה מהקורבן", כתבו Citizen Lab.
Update your @apple products immediately!
Last week we @citizenlab discovered a new #Pegasus zero-click exploit chain.
(No clicking required to infect latest iOS!)
Found while checking civil society.
Disclosed to Apple which rushed a patch 1/ https://t.co/NN6LWCbwAj pic.twitter.com/zN3cotBCMk
לאחר שמצאו את הפגיעות, החוקרים דיווחו על כך לאפל, שפרסמה תיקון ביום חמישי, והודתה ל-Citizen Lab שדיווחה עליהן. בהתבסס על מה שכתבו Citizen Lab בפוסט בבלוג, והעובדה שאפל גם תיקנה פגיעות נוספת וייחסה את הממצא שלה לחברה עצמה, נראה שאפל מצאה את הפגיעות הנוספת בזמן שחקרה את הראשונה.
דובר אפל, סקוט רדקליף, לא הגיב והפנה את האתר TechCrunch להערות בעדכון האבטחה. NSO לא הגיב לבקשה להגיב.
Citizen Lab כתבו כי הם כינו את שרשרת הניצול BLASTPASS, מכיוון שהיא כללה PassKit, מסגרת המאפשרת למפתחים לכלול את Apple Pay באפליקציות שלהם.
Citizen Lab המליצה לכל משתמשי האייפון לעדכן את הטלפונים שלהם. סקוט-ריילטון, חוקר בכיר ב-Citizen Lab אמר שהוא ועמיתיו, כמו גם צוות הנדסת האבטחה והארכיטקטורה של אפל, מאמינים שמצב Lockdown, מצב באייפון שמגביר תכונות אבטחה מסוימות וחוסם אחרות כדי להפחית את הסיכון להתקפות ממוקדות, היה מונע פגיעות במקרה זה.
במידה ואין לכם עדכוני תוכנה אוטומטיים, תוכלו להוסיף בכמה צעדים פשוטים:
- כנסו להגדות.
- לאחר מכן כנסו ל-"כללי".
- לחצו על עדכוני תוכנה ותעילו את אפשרות עדכונים אוטומטיים.