Apple har udgivet en række nye opdateringer til iOS, macOS og watchOS for at rette en fejl, som sikkerhedsforskere på Citizen Lab siger, sandsynligvis blev udnyttet til at give offentlige instanser mulighed for at installere spyware i journalisters telefoner , advokater og aktivister. Forskerne siger, at fejlen muliggjorde en “nul-klik” -installation (hvilket betyder, at målet ikke behøvede at gøre noget for at blive inficeret) af Pegasus-spyware, som angiveligt er i stand til at stjæle data, adgangskoder og aktivere en telefons mikrofon eller kamera. Du kan læse vores forklarer af Pegusus her for flere detaljer.
I betragtning af udnyttelsens sværhedsgrad bør du opdatere til iOS 14.8, macOS Big Sur 11.6 og watchOS 7.6.2 så hurtigt som muligt som du kan.
Apples opdateringsside siger, at det er “opmærksom på en rapport om, at dette problem kan have været aktivt udnyttet.”
Vi hørte om udnyttelsen i august, da Citizen Lab rapporterede, at det med succes var blevet brugt mod telefoner, der kører iOS 14.6 (udgivet i maj). Citizen Lab sagde også, at sårbarheden, som den kaldte “ForcedEntry”, syntes at stemme overens med adfærden fra en udnyttelse, Amnesty International skrev om i juli. På det tidspunkt skrev sikkerhedsforskerne, at det blev muliggjort af en fejl i Apples CoreGraphics -system og skete, da telefonen forsøgte at bruge en funktion relateret til GIF'er, efter at den modtog en tekstbesked, der indeholdt en ondsindet fil.
Selv med denne information kan det imidlertid være svært at fastslå præcis, hvad der skete uden adgang til de inficerede filer selv. Ifølge Citizen Lab opdagede de filer, mens de analyserede en sikkerhedskopi fra en aktivists hackede telefon. Filerne syntes at være GIF'er sendt som SMS -vedhæftede filer, men var faktisk PSD'er og PDF'er. (Apples opdateringsnotater siger, at problemet opstod ved behandling af en ondsindet PDF -fil.) Citizen Lab formodede, at de kunne have været relateret til Pegasus, så det sendte filerne til Apple den 7. september. Apple frigav hurtigt softwareopdateringerne, der rettede fejlen den 13. september, og takkede Citizen Lab i en erklæring for “at have afsluttet det meget vanskelige arbejde med at få en prøve af denne udnyttelse.”
iOS 14.8 er tilsyneladende kun fokuseret på sikkerhed
Nogle af mandagens opdateringer løser også et andet sikkerhedsproblem med WebKit til iOS og macOS Big Sur (det er ikke nævnt i udgivelsesnotaterne til Catalina). Selvom det er uklart, om det er relateret til NSO's bedrifter – dens opdagelse tilskrives “en anonym forsker” i stedet for Citizen Lab, og det er i en anden del af systemet – siger Apple stadig, at det “kan have været aktivt udnyttet.”
Sådan et presserende sikkerhedsproblem forklarer, hvorfor vi ser en ny opdatering til iOS bare en dag før en Apple -begivenhed, hvor det forventes at annoncere nye telefoner, der sandsynligvis aldrig vil køre denne version af operativsystemet. Alligevel har der været rygter om en iOS 14.8 -udgivelse siden begyndelsen af august, men i betragtning af at mandagens udgivelse tilsyneladende kun omhandler de sikkerhedsproblemer, der blev opdaget i september, er det muligt, at vi vil se mindst endnu en iOS 14 -udgivelse.
Hold dine enheder opdaterede
CoreGraphics 'PDF -gengivelse synes at have været problematisk for nylig, når det kommer til sikkerhed. iOS 14.7 inkluderede også en løsning på et tilsyneladende separat problem med systemet, hvilket også kan føre til vilkårlig kodeudførelse. WebKit har også for nylig haft et par opdateringer til løsning af sikkerhedsproblemer, som Apple siger “kan have været aktivt udnyttet.” Da nyhederne om CoreGraphics -udnyttelsen brød ud i august, fortalte Apple TechCrunch, at det arbejdede på at forbedre sikkerheden til iOS 15.
Alt dette er en påmindelse om, hvor vigtigt det er at beholde alt dine enheder opdaterede. Selvom du forhåbentlig aldrig befinder dig på den dårlige side af en regering, der bruger avanceret spyware, er det stadig en god idé at sikre, at din enhed ikke er sårbar over for vidt rapporterede sikkerhedsudnyttelser. Heldigvis planlægger Apple at lade brugerne installere sikkerhedsopdateringer til iOS 14 uden at skulle opgradere til iOS 15, hvilket kan være nyttigt til fremtidige rettelser. For øjeblikket skal du dog opdatere alle dine enheder så hurtigt som muligt.
Opdater 13. september, 19:10 ET: Tilføjet citat fra Apples erklæring, der takker Citizen Lab.