Apple hat am Donnerstag Sicherheitsupdates veröffentlicht, die zwei Zero-Day-Exploits beheben – d. h. Hacking-Techniken, die zu dem Zeitpunkt, als Apple davon erfuhr – unbekannt waren und gegen ein Mitglied einer zivilgesellschaftlichen Organisation in Washington DC eingesetzt wurden, so die Forscher, die die Schwachstellen entdeckt hatten .
Citizen Lab, eine Internet-Überwachungsgruppe, die staatliche Malware untersucht, hat einen kurzen Blogbeitrag veröffentlicht Sie erklärten, dass sie letzte Woche eine Zero-Click-Sicherheitslücke gefunden hätten – was bedeutet, dass das Ziel des Hackers nichts antippen oder anklicken muss, beispielsweise einen Anhang –, die dazu dient, Opfer mit Malware anzugreifen. Die Forscher sagten, die Schwachstelle sei als Teil einer Exploit-Kette genutzt worden, die darauf abzielte, die Malware der NSO Group, bekannt als Pegasus, zu verbreiten.
„Die Exploit-Kette war in der Lage, iPhones mit der neuesten Version von iOS (16.6) zu kompromittieren, ohne dass das Opfer eingreifen musste“, schrieb Citizen Lab.
Nachdem sie die Schwachstelle gefunden hatten, meldeten die Forscher sie Apple, das am Donnerstag einen Patch veröffentlichte und sich bei Citizen Lab für die Meldung bedankte.
Basierend auf dem, was Citizen Lab im Blogbeitrag geschrieben hat, und der Tatsache, dass Apple auch eine weitere Schwachstelle gepatcht und die Entdeckung dem Unternehmen selbst zugeschrieben hat, scheint es, dass Apple die zweite Schwachstelle bei der Untersuchung der ersten gefunden hat.
Als er um einen Kommentar gebeten wurde, äußerte sich Apple-Sprecher Scott Radcliffe nicht und verwies Tech auf die Hinweise im Sicherheitsupdate.
Citizen Lab sagte, es habe die Exploit-Kette BLASTPASS genannt, weil es darin verwickelt sei PassKitein Framework, das es Entwicklern ermöglicht, Apple Pay in ihre Apps einzubinden.
„Wieder einmal fungiert die Zivilgesellschaft als Cybersicherheits-Frühwarnsystem für … Milliarden von Geräten auf der ganzen Welt“, sagte John Scott-Railton, leitender Forscher beim Internet-Überwacher Citizen Lab, schrieb auf Twitter.
Citizen Lab empfahl allen iPhone-Nutzern, ihre Telefone zu aktualisieren.
NSO reagierte nicht sofort auf eine Bitte um Stellungnahme.
Haben Sie weitere Informationen über die NSO Group oder einen anderen Anbieter von Überwachungstechnologie? Oder Informationen über ähnliche Hacks? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.