BLASTPASS: nuovo exploit per iOS usato da Pegasus (update)
Topic
Approfondimenti
Trending
tutti

BLASTPASS: nuovo exploit per iOS usato da Pegasus (update)

BLASTPASS è l'exploit usato dallo spyware Pegasus per eseguire codice arbitrario sui dispositivi Apple, sfruttando due vulnerabilità zero-day.
BLASTPASS: nuovo exploit per iOS usato da Pegasus (update)
Sicurezza Antivirus
BLASTPASS è l'exploit usato dallo spyware Pegasus per eseguire codice arbitrario sui dispositivi Apple, sfruttando due vulnerabilità zero-day.
Pixabay

Il Citizen Lab dell’Università di Toronto ha scoperto un nuovo exploit usato dal famigerato spyware Pegasus. BLASTPASS sfrutta due vulnerabilità zero-day di iOS 16.6 per eseguire codice arbitrario sullo smartphone. Apple ha incluso la patch nell’aggiornamento 16.6.1. I bug sono presenti anche in iPadOS, macOS e watchOS.

BLASTPASS: attenzione alle immagini

I ricercatori del Citizen Lab hanno scoperto una vulnerabilità zero-day durante l’analisi del dispositivo appartenente ad un dipendente di un’organizzazione. La vulnerabilità, indicata con CVE-2023-41064, permette di eseguire codice arbitrario sul dispositivo quando l’utente visualizza un’immagine infetta.

Grazie all’assistenza ricevuta dai ricercatori, Apple ha scoperto la seconda vulnerabilità zero-day, indicata con CVE-2023-41061 e correlata alla prima, che riguarda PassKit, il framework usato dagli sviluppatori per integrare Apple Pay nelle loro app.

L’exploit BLASTPASS sfrutta entrambe le vulnerabilità per infettare i dispositivi Apple, senza l’interazione dell’utente (zero-click). Pegasus ha usato simili tecniche in passato, ma NSO Group ha sempre sottolineato che non è responsabile delle azioni illecite dei suoi clienti.

Il Citizen Lab pubblicherà maggiori dettagli nei prossimi giorni. Gli utenti devono ovviamente installare le ultime versioni dei sistemi operati: iOS 16.6.1, iPadOS 16.6.1, macOS Ventura 13.5.2 e watchOS 9.6.2. I ricercatori consigliano inoltre di attivare il Lockdown Mode (Modalità di isolamento in italiano) che riduce le “superfici di attacco” sfruttate da Pegasus, come le immagini allegati ai messaggi.

Le patch di sicurezza verranno incluse in iOS 17 che Apple dovrebbe annunciare durante l’evento del 12 settembre. Dall’inizio dell’anno, l’azienda di Cupertino ha corretto 13 vulnerabilità zero-day, un numero piuttosto elevato per un sistema operativo considerato più sicuro di Android.

Aggiornamento (12/09/2023): Apple ha rilasciato la patch per CVE-2023-41064 anche per iOS/iPadOS 15.7.9, macOS Monterey 12.6.9 e macOS Big Sur 11.7.10.

Fonte: The Citizen Lab

Pubblicato il 8 set 2023

Link copiato negli appunti

Ti potrebbe interessare

Apple blocca un exploit zero-click con Lockdown Mode

Apple blocca un exploit zero-click con Lockdown Mode
iPhone: NSO trova altri tre pericolosi hack zero-click

iPhone: NSO trova altri tre pericolosi hack zero-click
Spyware commerciali vietati negli Stati Uniti

Spyware commerciali vietati negli Stati Uniti
Panda Dome Complete 2024: la soluzione DEFINITIVA (-44%)

Panda Dome Complete 2024: la soluzione DEFINITIVA (-44%)
Apple blocca un exploit zero-click con Lockdown Mode

Apple blocca un exploit zero-click con Lockdown Mode
iPhone: NSO trova altri tre pericolosi hack zero-click

iPhone: NSO trova altri tre pericolosi hack zero-click
Spyware commerciali vietati negli Stati Uniti

Spyware commerciali vietati negli Stati Uniti
Panda Dome Complete 2024: la soluzione DEFINITIVA (-44%)

Panda Dome Complete 2024: la soluzione DEFINITIVA (-44%)
Luca Colantuoni
Pubblicato il
8 set 2023
Link copiato negli appunti