Η Apple μόλις κυκλοφόρησε μια σειρά νέων ενημερώσεων για iOS, macOS και watchOS για να διορθώσει ένα σφάλμα που οι ερευνητές ασφαλείας στο Citizen Lab λένε ότι πιθανότατα επέτρεψε σε κυβερνητικές υπηρεσίες να εγκαταστήσουν spyware στα τηλέφωνα δημοσιογράφων, δικηγόρων και ακτιβιστών.
Οι ερευνητές λένε ότι το σφάλμα επέτρεψε την εγκατάσταση ενός “zero-click” (που σημαίνει ότι ο στόχος δεν έπρεπε να κάνει τίποτα για να μολυνθεί) του spyware Pegasus, το οποίο φέρεται να μπορεί να κλέψει δεδομένα, κωδικούς πρόσβασης και να ενεργοποιήσει το μικρόφωνο ενός τηλεφώνου ή την φωτογραφική μηχανή.
Δεδομένης της σοβαρότητας της εκμετάλλευσης, θα πρέπει να ενημερώσετε το iOS 14.8, το macOS Big Sur 11.6 και το watchOS 7.6.2 το συντομότερο δυνατό.
Το Citizen Lab είπε επίσης ότι η ευπάθεια αυτή, η οποία ονομάστηκε «ForcedEntry», φαίνεται να ταιριάζει με τη συμπεριφορά μιας αντίστοιχης εκμετάλλευσης που έγινε στην Διεθνή Αμνηστία, τον Ιούλιο. Εκείνη την εποχή, οι ερευνητές ασφαλείας έγραψαν ότι η εκμετάλλευση έγινε δυνατή λόγω σφάλματος στο σύστημα CoreGraphics της Apple και συνέβη όταν το τηλέφωνο προσπάθησε να χρησιμοποιήσει μια λειτουργία που σχετίζεται με ένα αρχείο GIF, αφού έλαβε ένα μήνυμα κειμένου που περιείχε κακόβουλο αρχείο.
Ωστόσο, ακόμη και με αυτές τις πληροφορίες, θα μπορούσε να είναι δύσκολο να προσδιοριστεί τι ακριβώς τι συνέβη χωρίς πρόσβαση στα ίδια τα μολυσμένα αρχεία. Σύμφωνα με το Citizen Lab , τα ύποπτα αρχεία από χακαρισμένο τηλέφωνο ακτιβιστή φαίνονταν να είναι GIF που αποστέλλονται ως συνημμένα SMS, αλλά στην πραγματικότητα ήταν PSD και PDF. Το Citizen Lab υποψιάστηκε ότι θα μπορούσε να έχει σχέση με το Pegasus, οπότε έστειλε τα αρχεία στην Apple στις 7 Σεπτεμβρίου. Η Apple κυκλοφόρησε γρήγορα τις ενημερώσεις λογισμικού επιδιορθώνοντας το σφάλμα στις 13 Σεπτεμβρίου και ευχαρίστησε το Citizen Lab σε μια δήλωση για “την ολοκλήρωση του πολύ δύσκολου έργου για την απόκτηση ενός δείγματος αυτής της εκμετάλλευσης”.
Όλα αυτά λειτουργούν ως υπενθύμιση για το πόσο σημαντικό είναι να διατηρείτε όλες τις συσκευές σας ενημερωμένες. Ενώ ελπίζουμε ότι ποτέ δεν θα βρεθείτε στην αντίθετη πλευρά μιας κυβέρνησης που χρησιμοποιεί προηγμένο λογισμικό υποκλοπής, είναι ακόμα καλή ιδέα να βεβαιωθείτε ότι η συσκευή σας δεν είναι ευάλωτη σε ευρέως αναφερόμενες εκμεταλλεύσεις ασφαλείας.