Apple ha rilasciato una suite di nuovi aggiornamenti per iOS, macOS e watchOS per correggere un bug che i ricercatori di sicurezza di Citizen Lab affermano sia stato molto probabilmente sfruttato per consentire alle agenzie governative di installare spyware nei telefoni dei giornalisti , avvocati e attivisti. I ricercatori affermano che il bug consentiva un'installazione “zero-click” (il che significa che il bersaglio non doveva fare nulla per essere infettato) dello spyware Pegasus, che secondo quanto riferito è in grado di rubare dati, password e attivare il microfono di un telefono o telecamera. Puoi leggere la nostra spiegazione di Pegusus qui per maggiori dettagli.
Data la gravità dell'exploit, dovresti aggiornare a iOS 14.8, macOS Big Sur 11.6 e watchOS 7.6.2 al più presto come puoi.
La pagina di aggiornamento di Apple afferma che è “a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente”.
Abbiamo saputo dell'exploit ad agosto, quando Citizen Lab ha riferito che era stato utilizzato con successo su telefoni con iOS 14.6 (rilasciato a maggio). Citizen Lab ha anche affermato che la vulnerabilità, nome in codice “ForcedEntry”, sembrava corrispondere al comportamento di un exploit di cui Amnesty International ha scritto a luglio. All'epoca, i ricercatori della sicurezza hanno scritto che ciò è stato reso possibile da un bug nel sistema CoreGraphics di Apple e si è verificato quando il telefono ha provato a utilizzare una funzione relativa alle GIF, dopo aver ricevuto un messaggio di testo contenente un file dannoso.
Tuttavia, anche con queste informazioni, potrebbe essere difficile stabilire esattamente cosa stava succedendo senza l'accesso ai file infetti stessi. Secondo Citizen Lab, hanno scoperto dei file mentre rianalizzavano un backup dal telefono hackerato di un attivista. I file sembravano essere GIF inviate come allegati SMS, ma in realtà erano PSD e PDF. (Le note di aggiornamento di Apple affermano che il problema si è verificato durante l'elaborazione di un PDF pericoloso.) Citizen Lab sospettava che potessero essere correlati a Pegasus, quindi ha inviato i file ad Apple il 7 settembre. Apple ha rilasciato rapidamente gli aggiornamenti software per correggere il bug il 13 settembre e ha ringraziato Citizen Lab in una dichiarazione per “completare il lavoro molto difficile di ottenere un campione di questo exploit”.
iOS 14.8 è apparentemente focalizzato solo sulla sicurezza
Alcuni degli aggiornamenti di lunedì risolvono anche un secondo problema di sicurezza con WebKit per iOS e macOS Big Sur (non è menzionato nelle note di rilascio per Catalina). Sebbene non sia chiaro se sia correlato agli exploit di NSO – la sua scoperta è attribuita a “un ricercatore anonimo” anziché a Citizen Lab, ed è in una parte diversa del sistema – Apple afferma ancora che “potrebbe essere stato attivamente sfruttato”.
Un problema di sicurezza così urgente spiega perché stiamo assistendo a un nuovo aggiornamento per iOS appena un giorno prima di un evento Apple, in cui si prevede l'annuncio di nuovi telefoni che probabilmente non eseguiranno mai questa versione del sistema operativo. Tuttavia, ci sono state voci su una versione di iOS 14.8 dall'inizio di agosto, ma dato che la versione di lunedì sembra occuparsi solo dei problemi di sicurezza scoperti a settembre, è possibile che vedremo almeno un'altra versione di iOS 14.
Mantieni aggiornati i tuoi dispositivi
Il rendering PDF di CoreGraphics sembra essere stato problematico di recente quando si tratta di sicurezza. iOS 14.7 includeva anche una correzione per un problema apparentemente separato con il sistema, che poteva anche portare all'esecuzione di codice arbitrario. WebKit ha anche recentemente ricevuto alcuni aggiornamenti per risolvere i problemi di sicurezza che secondo Apple “potrebbero essere stati sfruttati attivamente”. Quando ad agosto si è diffusa la notizia dell'exploit di CoreGraphics, Apple ha dichiarato a TechCrunch che stava lavorando per migliorare la sicurezza di iOS 15.
Tutto ciò serve a ricordare quanto sia importante mantenere tutto i tuoi dispositivi aggiornati. Anche se si spera di non trovarsi mai dalla parte cattiva di un governo che utilizza spyware avanzato, è comunque una buona idea assicurarsi che il proprio dispositivo non sia vulnerabile a exploit di sicurezza ampiamente segnalati. Per fortuna, Apple sta pianificando di consentire agli utenti di installare aggiornamenti di sicurezza per iOS 14 senza dover eseguire l'aggiornamento a iOS 15, il che potrebbe essere utile per eventuali correzioni future. Per il momento, però, aggiorna tutti i tuoi dispositivi il prima possibile.
Aggiornamento del 13 settembre, 19:10 ET: Aggiunta citazione da Apple dichiarazione di ringraziamento a Citizen Lab.