Apple corrige errores de día cero utilizados para instalar el software espía Pegasus

Apple corrige errores de día cero utilizados para instalar el software espía Pegasus

Créditos de imagen: MENAHEM KAHANA/AFP vía Getty Images/Getty Images

Apple lanzó el jueves actualizaciones de seguridad que solucionan dos exploits de día cero (técnicas de piratería desconocidas en el momento en que Apple las descubrió) utilizadas contra un miembro de una organización de la sociedad civil en Washington DC, según los investigadores que descubrieron las vulnerabilidades. .

a

Citizen Lab, un grupo de monitoreo de Internet que investiga el malware gubernamental, publicó una breve publicación en el blog explicando que la semana pasada descubrieron una vulnerabilidad de clic cero (lo que significa que el objetivo de los piratas informáticos no necesita tocar ni hacer clic en nada, como un archivo adjunto) que se utiliza para atacar a las víctimas con malware. Los investigadores dijeron que la vulnerabilidad se utilizó como parte de una cadena de exploits diseñada para distribuir el malware de NSO Group, conocido como Pegasus.

«La cadena de exploits fue capaz de comprometer iPhones que ejecutaban la última versión de iOS (16.6) sin ninguna interacción de la víctima», escribió Citizen Lab.

Una vez que se encontró la vulnerabilidad, los investigadores informaron a Apple, que lanzó un parche el jueves, agradeciendo a Citizen Lab por informarlos.

Según lo que escribió Citizen Lab en la publicación del blog y el hecho de que Apple también parchó otra vulnerabilidad y atribuyó su descubrimiento a la propia empresa, parece que Apple descubrió la segunda vulnerabilidad al investigar la primera.

Cuando se le contactó para hacer comentarios, el portavoz de Apple, Scott Radcliffe, no hizo comentarios y refirió a TechCrunch a las notas de actualización de seguridad.

READ  Marshall presenta los primeros auriculares inalámbricos verdaderos con ANC

Citizen Lab dijo que llamó a la cadena de exploits BLASTPASS porque involucraba PaseKitun marco que permite a los desarrolladores incluir Apple Pay en sus aplicaciones.

«Una vez más, la sociedad civil sirve como sistema de alerta temprana de ciberseguridad para… miles de millones de dispositivos en todo el mundo», dijo John Scott-Railton, investigador principal del organismo de control de Internet Citizen Lab. a escrito en Twitter.

Citizen Lab ha recomendado a todos los usuarios de iPhone que actualicen sus teléfonos.

NSO no respondió de inmediato a una solicitud de comentarios.


¿Tiene más información sobre NSO Group u otro proveedor de tecnología de vigilancia? ¿O información sobre trucos similares? Nos gustaría saber de usted. Puede ponerse en contacto con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, a través de Wickr, Telegram y Wire @lorenzofb, o por correo electrónico a [email protected]. También puede ponerse en contacto con TechCrunch a través de SecureDrop.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *