Az Apple magyar idő szerint csütörtök este fontos frissítéseket adott ki több eszközéhez is – befutott az iOS/iPadOS 16.6.1, a macOS Ventura 13.5.2 és a watchOS 9.6.2 is.

A frissítőcsomagok új funkciókat nem hoztak, biztonsági javításokat annál inkább: a Citizen Lab közlése szerint az Apple két olyan nulladik napi sérülékenységet foltozott be, amellyel már aktívan visszaéltek. Ezeket kihasználva telepítette az izraeli NSO Group is a Pegasus nevű kémprogramot az eszközökre.

A két rést a 2023-41064 és a CVE-2023-41061 kódnév alatt tartják nyilván, és egy fertőzött PassKit-képmelléklet segítségével tudtak a támadók megfertőzni egy naprakész, minden frissítést magában foglaló iPhone-t, mely egy washingtoni civil szervezethez tartozott. (A PassKit az Apple Wallet része.)

We refer to the exploit as BLASTPASS, as it employed a PassKit (Wallet) attachment containing a malicious image, sent via iMessage. When the phone processed the attachment, the exploit hijacked control of Apple's "BlastDoor" framework for iMessage security.

— Bill Marczak (@billmarczak) September 7, 2023

Ráadásul – hangsúlyozza a Bleeping Computer a Citizen Lab nyomán – a fertőzéshez semmilyen felhasználói beavatkozásra nem volt szükség, nem kellett megnyitni semmit, magától települt.

A káros PassKit-csatolmányokat a támadó iMessage-fiókjából juttatták el az áldozat készülékére.

A Citizen Lab megjegyzi: minden Apple-felhasználónak azonnal frissítenie kell az eszközeit, és akik a munkájuk vagy kilétük miatt célzott támadások áldozatai lehetnek, aktiválják a Zárt módot – ehhez ide kattintva található egy magyar nyelvű, hivatalos útmutató.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.