Apple se apressa para corrigir falhas zero-day exploradas pelo Spyware Pegasus em iPhones
8 de Setembro de 2023

A Apple lançou na quinta-feira atualizações de segurança de emergência para iOS, iPadOS, macOS e watchOS para resolver duas falhas zero-day que foram exploradas para fornecer o spyware mercenário Pegasus do Grupo NSO.

Os problemas são descritos como a seguir:

CVE-2023-41061 - Um problema de validação na Carteira que pode resultar na execução de código arbitrário ao lidar com um anexo maliciosamente criado.

CVE-2023-41064 - Uma questão de transbordamento de buffer no componente Image I/O que pode resultar na execução de código arbitrário ao processar uma imagem maliciosamente criada.

Enquanto o CVE-2023-41064 foi encontrado pelo Citizen Lab na Munk School da Universidade de Toronto, o CVE-2023-41061 foi descoberto internamente pela Apple, com "assistência" do Citizen Lab.

As atualizações estão disponíveis para os seguintes dispositivos e sistemas operacionais:

iOS 16.6.1 e iPadOS 16.6.1 - iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air 3ª geração e posterior, iPad 5ª geração e posterior, e iPad mini 5ª geração e posterior
macOS Ventura 13.5.2 - dispositivos macOS rodando macOS Ventura
watchOS 9.6.2 - Apple Watch Series 4 e posterior

Em outro alerta, O Citizen Lab revelou que as duas falhas foram usadas como parte de uma cadeia de exploração iMessage de zero clique chamada BLASTPASS para implantar o Pegasus em iPhones totalmente atualizados rodando iOS 16.6.

"O cycle de exploração foi capaz de comprometer iPhones rodando a última versão do iOS (16.6) sem nenhuma interação da vítima", disse o laboratório interdisciplinar.

"O exploit envolveu anexos PassKit contendo imagens maliciosas enviadas de uma conta iMessage do invasor para a vítima."

Especificidades técnicas adicionais sobre as deficiências foram mantidas em sigilo por causa da exploração ativa.

Dito isto, o exploit teria como alvo o framework de proteção BlastDoor da Apple.

Esse último achado mostra uma vez mais que a sociedade civil é alvo de explorações altamente sofisticadas e spywares mercenários", disse o Citizen Lab, acrescentando que esses problemas foram descobertos na semana passada durante a revisão do dispositivo de um indivíduo não identificado que trabalha para uma organização da sociedade civil baseada em Washington D.C..

Até agora, a Apple corrigiu um total de 13 falhas zero-day em seus softwares desde o início do ano.

As postagens de notícias dos zero-days vieram enquanto acredita-se que o governo chinês tenha proibido a utilização de iPhones e outros dispositivos estrangeiros por oficiais do governo central e estadual em uma tentativa de reduzir a dependência de tecnologia estrangeira, tudo isso em meio à crescente guerra comercial entre a China e os EUA.

"O verdadeiro motivo [para a proibição] é: cibersegurança (surpresa surpresa)", disse Zuk Avraham, pesquisador de segurança e fundador da Zimperium, em uma postagem no X (antes, Twitter).

"iPhones têm a imagem de ser o telefone mais seguro...

mas na realidade, os iPhones não são nada seguros contra uma simples espionagem".

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...