A Apple liberou uma atualização de segurança crítica para o sistema operacional móvel iOS que corrige bugs zero-days que permitiam a instalação do malware espião Pegasus em iPhones. O exploit foi denunciado pelo Citizen Lab, grupo que pesquisa de spyware, na semana passada e foi notificado imediatamente à fabricante.
De acordo com o grupo, as duas falhas, registradas como CVE-2023-41064 e CVE-2023-41061, permitiram que os invasores infectassem um iPhone totalmente corrigido com iOS 16.6 e pertencente a uma organização da sociedade civil com sede em Washington DC por meio de anexos PassKit — a estrutura por trás do Apple Pay e da Wallet — contendo imagens maliciosas enviadas via iMessage.
“Nós nos referimos à cadeia de exploração como BLASTPASS. A cadeia de exploração foi capaz de comprometer iPhones que executavam a versão mais recente do iOS (16.6) sem qualquer interação da vítima”, disse o Citizen Lab. “O exploit envolvia anexos PassKit contendo imagens maliciosas enviadas de uma conta iMessage do atacante para a vítima.”
Atualização do iOS é obrigatória para manter segurança de usuários
Alguns dias após a denúncia sobre os exploits pelo grupo de pesquisa Citizen Lab, que já relatou vários casos de uso do Pegasus contra civis no passado, a Apple liberou uma nova versão do iOS. Vale lembrar que mesmo os usuários não potenciais devem instalar a versão 16.6.1 do sistema operacional móvel, visto que é possível que muitos grupos ainda estejam dispostos a usar engenharia reversa das atualizações de segurança do iOS com objetivo de saber como explorar essa nova vulnerabilidade, aumentando o risco de ataques mais amplos. Além da atualização, o grupo ressaltou a importância e ativar o Modo de Bloqueio.
O spyware comercial Pegasus pertence à empresa israelense NGO Group e é usado por vários grupos governamentais de inteligência, incluindo de nações de estado democráticos. Em muitas denúncias, foram relatados o uso contra dissidentes, jornalistas e ativistas com intuito de obter fotos, mensagens e gravações de áudio e vídeo e ligações em tempo real das vítimas. Em 2021, ele foi usado contra o presidente da SaferNet Brasil, Thiago Tavares, que decidiu deixar o país depois ser infectado pelo malware.
Embora sem informar muitos detalhes sobre a vulnerabilidade de imediato, pesquisadores de segurança da Apple e da Citizen Lab descobriram os dois zero-days nas estruturas Image I/O e Wallet. “Esperamos publicar uma discussão mais detalhada sobre a cadeia de exploração no futuro”, disse o grupo de pesquisa.