Apple has just released a series of new updates for iOS, macOS and watchOS to fix a bug that security researchers at Citizen Lab say likely allowed government services to install spyware on the phones of journalists, lawyers and activists.
Researchers say that το σφάλμα επέτρεψε την εγκατάσταση ενός "zero-click" (που σημαίνει ότι ο στόχος δεν έπρεπε να κάνει τίποτα για να μολυνθεί) του spyware Pegasus, το οποίο φέρεται να μπορεί να κλέψει δεδομένα, κωδικούς πρόσβασης και να ενεργοποιήσει το μικρόφωνο ενός τηλεφώνου ή την φωτογραφική machine.
Given the severity of the exploitation, you should inform iOS 14.8, the macOS BigSur 11.6 and Watch 7.6.2 as soon as possible.
The Citizen Lab also said that this vulnerability, dubbed "ForcedEntry", seems to match the behavior of a similar Amnesty International in July. At the time, security researchers wrote that the exploit was made possible by a bug in the system Apple's CoreGraphics and happened when the phone tried to use a function related to a GIF file after receiving a text message that contained a malicious file.
Ωστόσο, ακόμη και με αυτές τις πληροφορίες, θα μπορούσε να είναι δύσκολο να προσδιοριστεί τι ακριβώς τι συνέβη χωρίς πρόσβαση στα ίδια τα μολυσμένα αρχεία. Σύμφωνα με το Citizen Lab , τα ύποπτα αρχεία από χακαρισμένο τηλέφωνο ακτιβιστή φαίνονταν να είναι GIF που αποστέλλονται ως συνημμένα SMS, αλλά στην πραγματικότητα ήταν PSD και PDF. Το Citizen Lab υποψιάστηκε ότι θα μπορούσε να έχει σχέση με το Pegasus, οπότε έστειλε τα αρχεία στην Apple στις 7 Σεπτεμβρίου. Η Apple κυκλοφόρησε γρήγορα τις ενημερώσεις λογισμικού επιδιορθώνοντας το σφάλμα στις 13 Σεπτεμβρίου και ευχαρίστησε το Citizen Lab σε μια δήλωση για "την ολοκλήρωση του πολύ δύσκολου έργου για την απόκτηση ενός δείγματος αυτής της εκμετάλλευσης".
All of this serves as a reminder of how important it is to keep them all Appliances informed you. While we hope you'll never find yourself on the other side of a government using advanced spyware, it's still a good idea to make sure your device isn't vulnerable to widely reported security exploits.