Apple har gitt ut en pakke med nye oppdateringer for iOS, macOS og watchOS for å fikse en feil som sikkerhetsforskere ved Citizen Lab sier var sannsynlig utnyttet for å tillate offentlige etater å installere spionprogrammer i telefonene til journalister , advokater og aktivister. Forskerne sier at feilen tillot en “null-klikk” -installasjon (noe som betyr at målet ikke måtte gjøre noe for å bli infisert) av Pegasus-spionprogrammet, som angivelig er i stand til å stjele data, passord og aktivere telefonens mikrofon eller kamera. Du kan lese vår forklarer av Pegusus her for flere detaljer.
Gitt hvor alvorlig utnyttelsen er, bør du oppdatere til iOS 14.8, macOS Big Sur 11.6 og watchOS 7.6.2 så snart som mulig som du kan.
Apples oppdateringsside sier at den er “klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet.”
Vi hørte om utnyttelsen i august, da Citizen Lab rapporterte at den hadde blitt brukt mot telefoner som kjører iOS 14.6 (utgitt i mai). Citizen Lab sa også at sårbarheten, som den kodenavnet “ForcedEntry”, syntes å stemme overens med oppførselen til en utnyttelse Amnesty International skrev om i juli. På den tiden skrev sikkerhetsforskerne at det ble muliggjort av en feil i Apples CoreGraphics -system, og skjedde da telefonen prøvde å bruke en funksjon relatert til GIF -er, etter at den mottok en tekstmelding som inneholdt en ondsinnet fil.
Selv med denne informasjonen kan det imidlertid være vanskelig å finne ut nøyaktig hva som skjedde uten tilgang til de infiserte filene selv. Ifølge Citizen Lab oppdaget de filer mens de analyserte en sikkerhetskopi fra en aktivists hackede telefon. Filene så ut til å være GIF -er sendt som SMS -vedlegg, men var egentlig PSD -er og PDF -filer. (Apples oppdateringsnotater sier at problemet oppstod ved behandling av en ondsinnet PDF -fil.) Citizen Lab mistenkte at de kunne ha vært relatert til Pegasus, så det sendte filene til Apple 7. september. Apple ga raskt ut programvareoppdateringene som oppdaterte feilen 13. september, og takket Citizen Lab i en uttalelse for å “fullføre det svært vanskelige arbeidet med å skaffe et eksempel på denne utnyttelsen.”
iOS 14.8 er tilsynelatende bare fokusert på sikkerhet
Noen av mandagens oppdateringer løser også et annet sikkerhetsproblem med WebKit for iOS og macOS Big Sur (det er ikke nevnt i utgivelsesnotatene for Catalina). Selv om det er uklart om det er relatert til NSOs utnyttelser – oppdagelsen tilskrives “en anonym forsker” i stedet for Citizen Lab, og det er i en annen del av systemet – sier Apple fortsatt at det “kan ha blitt aktivt utnyttet.”
Et så presserende sikkerhetsproblem forklarer hvorfor vi ser en ny oppdatering til iOS bare en dag før et Apple -arrangement, hvor det forventes å annonsere nye telefoner som sannsynligvis aldri vil kjøre denne versjonen av operativsystemet. Likevel har det vært rykter om en iOS 14.8 -utgivelse siden begynnelsen av august, men gitt at mandagens utgivelse ser ut til å bare håndtere sikkerhetsproblemene som ble oppdaget i september, er det mulig vi vil se minst en iOS 14 -utgivelse til.
Hold enhetene dine oppdatert
CoreGraphics 'PDF -gjengivelse ser ut til å ha vært problematisk i det siste når det gjelder sikkerhet. iOS 14.7 inkluderte også en løsning for et tilsynelatende separat problem med systemet, noe som også kan føre til vilkårlig kjøring av kode. WebKit har også nylig hatt noen oppdateringer for å fikse sikkerhetsproblemer som Apple sier “kan ha blitt aktivt utnyttet.” Da nyheten om CoreGraphics -utnyttelsen kom i august, fortalte Apple TechCrunch at den jobber med å forbedre sikkerheten for iOS 15.
Alt dette er en påminnelse om hvor viktig det er å beholde alt enhetene dine oppdaterte. Selv om du forhåpentligvis aldri finner deg på den dårlige siden av en regjering som bruker avansert spionprogram, er det fortsatt en god idé å sørge for at enheten din ikke er sårbar for mye rapporterte sikkerhetsutnyttelser. Heldigvis planlegger Apple å la brukere installere sikkerhetsoppdateringer for iOS 14 uten å måtte oppgradere til iOS 15, noe som kan være nyttig for fremtidige reparasjoner. Foreløpig må du imidlertid oppdatere alle enhetene dine så snart du kan.
Oppdater 13. september, 19:10 ET: Lagt til sitat fra Apples uttalelse som takker Citizen Lab.