Apple ha appena rilasciato iOS 14.8 che corregge due vulnerabilità, una delle quali consente di attaccare in modo invisibile e senza richiedere alcuna azione da parte della vittima.
L’attacco consente di attivare telecamere e microfono, registrare messaggi, SMS, mail e chiamate vocali (comprese quelle cifrate).
Link Apple per informazioni sui bug e sugli aggiornamenti correttivi :
- https://support.apple.com/it-it/HT201222 (come scaricare gli aggiornamenti in generale)
- https://support.apple.com/it-it/HT212807 (iOS e iPadOS)
- https://support.apple.com/en-us/HT212804 (macOS Big Sur)
- https://support.apple.com/HT212805 (macOS Catalina)
- https://support.apple.com/HT212808 (Safari 14.1.2 per macOS Catalina e Mojave)
- https://support.apple.com/en-us/HT212806 (watchOS)
La prima vulnerabilità, denominata CVE-2021-30860 e battezzata FORCEDENTRY, è stata scoperta da Citizen Lab, riguarda iMessage e può essere sfruttata per iniettare un malware, denominato Pegasus, sviluppato dalla società israeliana NSO Group.
PEGASUS è già stato usato per penetrare negli iPhone di vari personaggi politici e in modo completamente trasparente.
L’attacco, spiega Citizen Lab, viene lanciato semplicemente mandando un SMS alla vittima. L’SMS contiene un allegato che ha l’estensione GIF ma è in realtà un PDF compromesso. Questo PDF causa un crash di IMTranscoderAgent sul dispositivo (dovuto a un integer overflow nella libreria CoreGraphics di rendering delle immagini), e il crash consente l’esecuzione di codice malevolo sul dispositivo attaccato.
La seconda vulnerabilità, denominata CVE-2021-30858, riguarda WebKit, il motore di rendering di Apple, usato da Safari e da quasi tutte le app che visualizzano contenuto HTML, ed è sfruttabile per eseguire codice malevolo sul dispositivo della vittima.
È importante segnalare però che, come rimarca lo stesso Citizen Lab, rispetto a FORCEDENTRY restano vulnerabili tutti gli iPhone con versioni di iOS precedenti alla 14.8, tutti i computer Mac con versioni del sistema operativo precedenti a OSX Big Sur 11.6, Security Update 2021-005 Catalina, e tutti gli Apple Watch precedenti a watchOS 7.6.2.
