Apple heeft een reeks nieuwe updates voor iOS, macOS en watchOS uitgebracht om een bug op te lossen die volgens beveiligingsonderzoekers van Citizen Lab zeer waarschijnlijk werd misbruikt om overheidsinstanties in staat te stellen spyware op de telefoons van journalisten te installeren , advocaten en activisten. De onderzoekers zeggen dat de bug een “zero-click” installatie mogelijk maakte (wat betekent dat het doelwit niets hoefde te doen om geïnfecteerd te raken) van de Pegasus-spyware, die naar verluidt in staat is gegevens en wachtwoorden te stelen en de microfoon van een telefoon of camera. Je kunt onze uitleg over Pegusus hier lezen voor meer details.
Gezien de ernst van de exploit, moet je zo snel mogelijk updaten naar iOS 14.8, macOS Big Sur 11.6 en watchOS 7.6.2 als je kan.
De updatepagina van Apple zegt dat het “op de hoogte is van een rapport dat dit probleem mogelijk actief is misbruikt”.
We hoorden over de exploit in augustus, toen Citizen Lab meldde dat het met succes was gebruikt tegen telefoons met iOS 14.6 (uitgebracht in mei). Citizen Lab zei ook dat de kwetsbaarheid, die de codenaam 'ForcedEntry' droeg, overeenkwam met het gedrag van een exploit waarover Amnesty International in juli schreef. Destijds schreven de beveiligingsonderzoekers dat dit mogelijk werd gemaakt door een bug in het CoreGraphics-systeem van Apple en gebeurde toen de telefoon een functie probeerde te gebruiken die verband houdt met GIF's, nadat deze een sms-bericht had ontvangen met een kwaadaardig bestand.
Maar zelfs met die informatie kan het moeilijk zijn om precies vast te stellen wat er gebeurde zonder toegang tot de geïnfecteerde bestanden zelf. Volgens Citizen Lab ontdekten ze bestanden terwijl ze een back-up van de gehackte telefoon van een activist opnieuw analyseerden. De bestanden leken GIF's te zijn die als sms-bijlagen werden verzonden, maar waren eigenlijk PSD's en PDF's. (In de update-opmerkingen van Apple staat dat het probleem zich voordeed bij het verwerken van een kwaadwillig vervaardigde pdf.) Citizen Lab vermoedde dat ze gerelateerd konden zijn aan Pegasus, dus stuurde het de bestanden op 7 september naar Apple. Apple bracht op 13 september snel de software-updates uit die de bug patchen en bedankte Citizen Lab in een verklaring voor het “voltooien van het zeer moeilijke werk om een voorbeeld van deze exploit te verkrijgen”.
iOS 14.8 is schijnbaar alleen gericht op beveiliging
Sommige updates van maandag verhelpen ook een tweede beveiligingsprobleem met WebKit voor iOS en macOS Big Sur (het wordt niet genoemd in de release-opmerkingen voor Catalina). Hoewel het onduidelijk is of het verband houdt met de exploits van NSO – de ontdekking wordt toegeschreven aan “een anonieme onderzoeker” in plaats van Citizen Lab, en het bevindt zich in een ander deel van het systeem – zegt Apple nog steeds dat het “mogelijk actief is uitgebuit”.
Een dergelijk urgent beveiligingsprobleem verklaart waarom we een dag voor een Apple-evenement een nieuwe update voor iOS zien, waar naar verwachting nieuwe telefoons zullen worden aangekondigd die deze versie van het besturingssysteem waarschijnlijk nooit zullen gebruiken. Toch zijn er sinds begin augustus geruchten over een iOS 14.8-release, maar aangezien de release van maandag alleen lijkt te gaan met de beveiligingsproblemen die in september zijn ontdekt, is het mogelijk dat we nog minstens één iOS 14-release zullen zien.
Houd uw apparaten up-to-date
De PDF-weergave van CoreGraphics lijkt recentelijk problematisch te zijn geweest als het gaat om beveiliging. iOS 14.7 bevatte ook een oplossing voor een schijnbaar apart probleem met het systeem, dat ook zou kunnen leiden tot het uitvoeren van willekeurige code. WebKit heeft onlangs ook een paar updates gehad om beveiligingsproblemen op te lossen die volgens Apple “actief zijn uitgebuit”. Toen het nieuws over de CoreGraphics-exploit in augustus bekend werd, vertelde Apple aan TechCrunch dat het werkte aan het verbeteren van de beveiliging voor iOS 15.
Dit alles herinnert ons eraan hoe belangrijk het is om alles te bewaren. uw apparaten up-to-date. Hoewel u zich hopelijk nooit aan de slechte kant van een overheid zult bevinden die geavanceerde spyware gebruikt, is het toch een goed idee om ervoor te zorgen dat uw apparaat niet kwetsbaar is voor algemeen gerapporteerde beveiligingsaanvallen. Gelukkig is Apple van plan om gebruikers beveiligingsupdates voor iOS 14 te laten installeren zonder te hoeven upgraden naar iOS 15, wat handig kan zijn voor toekomstige oplossingen. Zorg er echter voor dat al je apparaten zo snel mogelijk worden bijgewerkt.
Update 13 september, 19:10 ET: Citaat toegevoegd van Apple's verklaring om Citizen Lab te bedanken.