Apple lancia l’allarme con l’aggiornamento di emergenza multi-OS per correggere il difetto zero-click

Lunedì Apple ha pubblicato aggiornamenti di sicurezza di emergenza per iOS, macOS e altri suoi sistemi operativi per tappare un buco che i ricercatori canadesi hanno affermato essere stato piantato sul dispositivo di un attivista politico saudita da NSO Group, un venditore israeliano di spyware e software di sorveglianza ai governi e alla loro sicurezza agenzie.

Sono stati rilasciati aggiornamenti per correggere la vulnerabilità di sfruttamento non attivo per iOS 14; macOS 11 e 10, alias rispettivamente Big Sur e Catalina; iPad OS 14; e watchOS 7.

Secondo Apple, la vulnerabilità può essere sfruttata “elaborando un PDF dannoso”, che “può portare all’esecuzione di codice arbitrario”. La frase “esecuzione arbitraria di codice” è il modo in cui Apple dice che il bug era della natura più grave; Apple non classifica il livello di vulnerabilità delle minacce, a differenza dei rivali dei sistemi operativi come Microsoft e Google.

Apple ha accreditato The Citizen Lab per aver segnalato il difetto.

Sempre lunedì, Citizen Lab, un’organizzazione di controllo della sicurezza informatica che opera dalla Munk School of Global Affairs & Public Policy dell’Università di Toronto, ha pubblicato un rapporto che delinea ciò che ha trovato. “Durante l’analisi del telefono di un attivista saudita infetto dallo spyware Pegasus di NSO Group, abbiamo scoperto un exploit zero-click zero-day contro iMessage”, hanno scritto i ricercatori di Citizen Lab.

L’exploit, che Citizen Lab ha soprannominato “FORCEDENTRY”, era stato utilizzato per infettare il telefono dell’attivista e forse altri già nel febbraio 2021 con la suite di sorveglianza “Pegasus” del gruppo di ONG. A sua volta, è costituito in gran parte da spyware in grado di documentare testi ed e-mail inviati da e verso il dispositivo, nonché accendere la fotocamera e il microfono per la registrazione segreta.

Citizen Lab era fiducioso che FORCEDENTRY fosse associato a Pegasus e quindi a ONG Group. Secondo i ricercatori, lo spyware caricato dall’exploit zero-click conteneva caratteristiche di codifica, comprese quelle mai rese pubbliche, che Citizen Lab si era imbattuto in precedenti analisi di ONG Group e Pegasus.

“Nonostante abbia promesso ai propri clienti la massima segretezza e riservatezza, il modello di business di NSO Group contiene i semi del loro continuo smascheramento”, ha scritto il ricercatore di Citizen Labs nel loro rapporto di lunedì. “La vendita di tecnologia a governi che utilizzeranno la tecnologia in modo sconsiderato in violazione della legge internazionale sui diritti umani, in definitiva, facilita la scoperta dello spyware da parte delle organizzazioni di controllo investigativo”.

I proprietari di dispositivi Apple possono scaricare e installare gli aggiornamenti di sola sicurezza rilasciati lunedì attivando un aggiornamento software tramite il sistema operativo del dispositivo.