Citizen Lab ha desvelado una preocupante vulnerabilidad de «cero clic» que estaba siendo activamente aprovechada para distribuir el software espía Pegasus, desarrollado por el NSO Group.
Este exploit tenía la capacidad de comprometer iPhones que estaban actualizados a la última versión del sistema operativo iOS (versión 16.6) sin necesidad de ninguna interacción por parte del usuario.
La técnica de explotación implicaba el uso de archivos adjuntos PassKit que contenían imágenes maliciosas enviadas desde una cuenta de iMessage del atacante al dispositivo de la víctima.
En el futuro, se espera que se publique una discusión más detallada sobre la cadena de exploits utilizada en este caso.
Apple ha emitido dos números CVE (Common Vulnerabilities and Exposures) relacionados con esta cadena de exploits, identificados como CVE-2023-41064 y CVE-2023-41061.
Se insta a todos los usuarios a actualizar sus dispositivos de forma inmediata. La actualización de Apple proporcionará protección a usuarios comunes, empresas y gobiernos en todo el mundo. Este descubrimiento resalta la importancia de apoyar a organizaciones de la sociedad civil en su esfuerzo por fortalecer nuestra seguridad cibernética colectiva.
Fuentes: