Apple utfärdar nöduppdateringar för att åtgärda det stora ‘nollklick-sårbarheten’ i alla sina operativsystem

0 Shares

PSA: Om du äger en Apple -enhet har du kanske märkt ett oplanerat uppdateringsmeddelande idag. Du kanske vill utföra dessa uppdateringar så snart som möjligt. Korrigeringarna är för iOS, watchOS och macOS och åtgärdar en stor säkerhetsfel som har utnyttjats aktivt sedan februari för att installera Pegasus spionprogram på enheter utan användarintervention.

På måndagen drog Apple ut nöduppdateringar för iOS, watchOS och macOS. Säkerhetspatcherna utfärdades som svar på ett massivt utnyttjande som gjorde det möjligt för operativsystem att infekteras med spionprogram utan interaktion från användaren.

Säkerhetsforskare vid University of Torontos Citizen Lab avslöjade sårbarheten som kallades “ForcedEntry” för Apple i tisdags. Gruppen upptäckte säkerhetshålet (CVE-2021-30860) medan de analyserade en saudisk aktivists iPhone.

“Nollklicka-utnyttjandet” utnyttjar en svaghet iMessages som kräver Apples bildåtergivningsbibliotek och kan infektera enheten utan användarintervention. Forskarna fann att sårbarheten är inneboende i alla tre av Apples operativsystem – iOS, watchOS och macOS.

Spionprogrammet som används är den kontroversiella Pegasus -applikationen som utvecklats av NSO Group i Israel. Citizen Lab säger att det tror att utnyttjandet har använts sedan februari, men har ingen aning om hur många enheter som kan infekteras med spionprogrammet.

Pegasus är en särskilt lömsk programvara genom att den kan göra allt från att slå på kameran och mikrofonen för att komma åt enhetsinställningar.

“Denna spionprogram kan göra allt en iPhone-användare kan göra på sin enhet och mer”, säger John Scott-Railton, en senior forskare på Citizen Lab, till New York Times. Medforskaren Bill Marczak tillade, “den kommersiella spionprogramindustrin blir mörkare.”

NSO -gruppen hävdar att den endast säljer sin spionprogram till statliga brottsbekämpande myndigheter enligt regionala lagar och regler. Programvaran har dock dykt upp på enheter från icke-kriminella personer, inklusive diplomater, aktivister och journalister. Dessutom fick Tysklands statliga polisbyrå hård kritik förra veckan för att i hemlighet ha köpt och anlitat Pegasus för att spionera på terrorister och organiserade brottsmedlemmar.

Efter att ha lärt sig om utnyttjandet i tisdags har Apples ingenjörer kämpat efter en fix och utfärdat en idag. Scott-Railton uppmanar ägarna till alla Apple-enheter att uppdatera operativsystemet så snart som möjligt.

Om du är intresserad av fullständiga detaljer om sårbarheten publicerade Citizen Lab en text på sin webbplats. Apple har också lappanteckningar listade på sina supportsidor.

Bildkredit: Amir Cohen/Reuters

0 Shares