Apple Perşembe günü, güvenlik açıklarını bulan araştırmacılara göre, Washington DC’deki bir sivil toplum kuruluşunun bir üyesine karşı kullanılan iki sıfır gün istismarını (Apple bunları öğrendiğinde bilinmeyen hackleme teknikleri anlamına geliyor) yamalayan güvenlik güncellemelerini yayınladı. .
Devletin kötü amaçlı yazılımlarını araştıran bir internet gözlemci grubu olan Citizen Lab, kısa bir blog yazısı yayınladı Geçen hafta, kurbanları kötü amaçlı yazılımla hedeflemek için kullanılan sıfır tıklama güvenlik açığı bulduklarını, yani bilgisayar korsanlarının hedefinin, ek gibi herhangi bir şeye dokunması veya tıklaması gerekmediği anlamına geldiğini açıkladı. Araştırmacılar, güvenlik açığının, NSO Group’un Pegasus olarak bilinen kötü amaçlı yazılımını yaymak için tasarlanmış bir yararlanma zincirinin parçası olarak kullanıldığını söyledi.
Citizen Lab, “Kötüye kullanım zinciri, kurbanın herhangi bir etkileşimi olmadan iOS’un en son sürümünü (16.6) çalıştıran iPhone’ları tehlikeye atabilecek kapasitedeydi” diye yazdı.
Araştırmacılar güvenlik açığını bulduktan sonra bunu Perşembe günü bir yama yayınlayan Apple’a bildirdiler ve Citizen Lab’a bu durumu bildirdikleri için teşekkür ettiler.
Citizen Lab’ın blog yazısında yazdıklarına ve Apple’ın başka bir güvenlik açığını da yamaladığı ve bulguyu şirketin kendisine atfettiği gerçeğine dayanarak, Apple’ın ilkini araştırırken ikinci güvenlik açığını bulmuş olabileceği anlaşılıyor.
Yorum yapmak için ulaşıldığında Apple sözcüsü Scott Radcliffe yorum yapmadı ve TechCrunch’ı güvenlik güncellemesindeki notlara yönlendirdi.
Citizen Lab, bu zinciri içerdiği için BLASTPASS istismar zincirini çağırdığını söyledi. Geçiş Kitigeliştiricilerin uygulamalarına Apple Pay’i dahil etmelerine olanak tanıyan bir çerçeve.
İnternet gözlemcisi Citizen Lab’ın kıdemli araştırmacılarından John Scott-Railton, “Sivil toplum bir kez daha dünya çapında milyarlarca cihaz için siber güvenlik erken uyarı sistemi olarak hizmet ediyor” dedi. yazdı Twitter’dan.
Citizen Lab, tüm iPhone kullanıcılarına telefonlarını güncellemelerini önerdi.
NSO Group veya başka bir gözetim teknolojisi sağlayıcısı hakkında daha fazla bilginiz var mı? Veya benzer hack’ler hakkında bilgi? Sizden haber almayı çok isteriz. +1 917 257 1382 numaralı telefondan Signal üzerinden veya Wickr, Telegram ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.