De iOS 16.6.1-update herstelt een kritieke kwetsbaarheid in de Pegasus-spyware

Als je de laatste tijd de wereld van spionage hebt gevolgd, kan de Pegasus-spyware een belletje doen rinkelen. Het in Israël gevestigde cyberwapenbedrijf NSO Group ontwikkelt de software en heeft de mogelijkheid om de sms-berichten van een doelwit te lezen, naar oproepen te luisteren, hun locatie te volgen en meer. Het programma haalde de krantenkoppen nadat werd ontdekt dat verschillende landen het hadden gebruikt om journalisten, activisten en andere geïnteresseerden te bespioneren.

Blijkbaar beschikt Apple’s nieuwste mobiele besturingssysteem iOS 16.6 over Zero Day en Zero Click, wat betekent dat er geen gebruikersinteractie nodig is om het te gebruiken, een exploit die de ontdekker ‘Blastpass’ heeft genoemd. Bij de exploit lijkt PassKit betrokken te zijn – de Apple SDK, waarmee ontwikkelaars Apple Pay in hun apps kunnen integreren en enkele kwaadaardige afbeeldingen die via iMessage worden verzonden om de exploit te activeren. Citizen Lab installeerde Pegasus met succes op een doelapparaat met behulp van de bovengenoemde exploit en rapporteerde dit onmiddellijk aan Apple.

De oplossing is nu geïmplementeerd in iOS 16.6.1 en alle gebruikers wordt geadviseerd de update zo snel mogelijk te downloaden. Deze exploit is duidelijk zeer ernstig en verreikend, waarbij Citizen Lab gebruikers die zich zorgen maken over hun privacy adviseert om de iOS Lockdown-modus in te schakelen – een recente iOS-functie die de functionaliteit van Apple-apparaten ernstig beperkt.

In ander recent nieuws verbood China zojuist het gebruik van iPhones door overheidsfunctionarissen. We speculeren niet dat het op de een of andere manier verband houdt met de exploit, maar Apple maakt zeker een moeilijke periode door met zijn iPhones.

bron | via