Apple har släppt en serie nya uppdateringar för iOS, macOS och watchOS för att åtgärda ett fel som säkerhetsforskare på Citizen Lab säger att de med stor sannolikhet har utnyttjats för att tillåta statliga myndigheter att installera spionprogram i telefoner till journalister , advokater och aktivister. Forskarna säger att felet tillät en “nollklick” -installation (vilket betyder att målet inte behövde göra någonting för att bli infekterad) av Pegasus-spionprogrammet, som enligt uppgift kan stjäla data, lösenord och aktivera en telefons mikrofon eller kamera. Du kan läsa vår förklaring av Pegusus här för mer information.
Med tanke på svårighetsgraden av utnyttjandet bör du uppdatera till iOS 14.8, macOS Big Sur 11.6 och watchOS 7.6.2 så snart som möjligt som du kan.
Apples uppdateringssida säger att det är “medvetet om en rapport om att detta problem kan ha utnyttjats aktivt.”
Vi fick höra om utnyttjandet i augusti, när Citizen Lab rapporterade att det framgångsrikt hade använts mot telefoner som kör iOS 14.6 (släpptes i maj). Citizen Lab sa också att sårbarheten, som den kallade “ForcedEntry”, tycktes matcha beteendet hos en exploatering Amnesty International skrev om i juli. Då skrev säkerhetsforskarna att det möjliggjordes av ett fel i Apples CoreGraphics -system och hände när telefonen försökte använda en funktion relaterad till GIF -filer, efter att den fått ett textmeddelande som innehåller en skadlig fil.
Men även med den informationen kan det vara svårt att fastställa exakt vad som hände utan tillgång till själva de infekterade filerna. Enligt Citizen Lab upptäckte de filer medan de analyserade en säkerhetskopia från en aktivists hackade telefon. Filerna tycktes vara GIF -filer som skickades som SMS -bilagor, men var faktiskt PSD -filer och PDF -filer. (Apples uppdateringsanteckningar säger att problemet uppstod vid behandling av en skadligt utformad PDF.) Citizen Lab misstänkte att de kunde ha varit relaterade till Pegasus, så det skickade filerna till Apple den 7 september. Apple släppte snabbt programuppdateringarna som korrigerade felet den 13 september och tackade Citizen Lab i ett uttalande för att “slutföra det mycket svåra arbetet med att få ett prov på denna exploatering.”
iOS 14.8 är till synes bara fokuserat på säkerhet
Några av måndagens uppdateringar fixar också ett andra säkerhetsproblem med WebKit för iOS och macOS Big Sur (det nämns inte i utgåvorna för Catalina). Även om det är oklart om det är relaterat till NSO: s bedrifter – upptäckten tillskrivs “en anonym forskare” istället för Citizen Lab, och det är i en annan del av systemet – Apple säger fortfarande att det “kan ha varit aktivt utnyttjat.”
Ett sådant brådskande säkerhetsproblem förklarar varför vi ser en ny uppdatering till iOS bara en dag före ett Apple -evenemang, där det förväntas meddela nya telefoner som förmodligen aldrig kommer att köra den här versionen av operativsystemet. Ändå har det gått rykten om en iOS 14.8 -utgåva sedan början av augusti, men med tanke på att måndagens utgåva verkar bara handla om de säkerhetsproblem som upptäcktes i september är det möjligt att vi kommer att se minst en annan iOS 14 -version.
Håll dina enheter uppdaterade
CoreGraphics PDF -återgivning verkar ha varit problematisk nyligen när det gäller säkerhet. iOS 14.7 inkluderade också en fix för ett till synes separat problem med systemet, vilket också kan leda till godtycklig kodkörning. WebKit har också nyligen fått några uppdateringar för att åtgärda säkerhetsproblem som Apple säger “kan ha utnyttjats aktivt.” När nyheterna om CoreGraphics -exploateringen kom i augusti sa Apple till TechCrunch att det arbetade med att förbättra säkerheten för iOS 15.
Allt detta påminner om hur viktigt det är att behålla allt dina enheter uppdaterade. Medan du förhoppningsvis aldrig befinner dig på den dåliga sidan av en regering som använder avancerad spionprogram, är det fortfarande en bra idé att se till att din enhet inte är sårbar för allmänt rapporterade säkerhetsexperter. Tack och lov planerar Apple att låta användare installera säkerhetsuppdateringar för iOS 14 utan att behöva uppgradera till iOS 15, vilket kan vara användbart för framtida korrigeringar. För närvarande får du dock uppdatera alla dina enheter så snart du kan.
Uppdatera 13 september, 19:10 ET: Lagt citat från Apples uttalande som tackar Citizen Lab.