Apple parchea exploits de día cero

Iniciado por AXCESS, Septiembre 09, 2023, 10:57:02 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 09, 2023, 10:57:02 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apple acaba de publicar actualizaciones de seguridad que corrigen dos exploits de día cero que se utilizaron contra un miembro de una organización de la sociedad civil en Washington.

La vulnerabilidad del clic cero fue descubierta por Citizen Lab, un grupo de vigilancia de Internet que investiga el malware gubernamental. Publicó una entrada de blog el jueves explicando lo que habían encontrado.

"Clic cero" significa que el objetivo de los piratas informáticos no tiene que tocar ni hacer clic en nada, por ejemplo, en un archivo adjunto, para desencadenar el ataque. Según los investigadores, la vulnerabilidad tenía como objetivo entregar el software espía Pegasus de NSO Group.

"La cadena de exploits fue capaz de comprometer iPhones que ejecutaban la última versión de iOS (16.6) sin ninguna interacción por parte de la víctima", escribió Citizen Lab.

Según los investigadores, el exploit involucraba archivos adjuntos PassKit que contenían imágenes maliciosas enviadas desde una cuenta de iMessage del atacante a la víctima. Citizen Lab reveló inmediatamente sus hallazgos a Apple, y la compañía rápidamente publicó una actualización para los productos Apple, incluidos iPhones, iPads, computadoras Mac y relojes.

"Alentamos a todos los usuarios a actualizar inmediatamente sus dispositivos. También instamos a todos los usuarios en riesgo a que consideren habilitar el modo de bloqueo, ya que creemos que bloquea este ataque", dijo Citizen Lab.

El grupo solo menciona una actualización de Apple en su publicación de blog, pero la compañía de tecnología solucionó otra vulnerabilidad y atribuyó su hallazgo a la propia empresa. Esto probablemente significa que Apple encontró el segundo defecto mientras investigaba el primero.

Citizen Lab explicó que llamó a la cadena de exploits BLASTPASS porque involucraba PassKit, un marco que permite a los desarrolladores incluir Apple Pay en sus aplicaciones.

"Una vez más, la sociedad civil actúa como sistema de alerta temprana de ciberseguridad para miles de millones de dispositivos en todo el mundo. Incluyéndote a ti, si estás leyendo esto en tu iPhone. O Mac", escribió John Scott-Railton, investigador principal de Citizen Lab, en X, anteriormente conocido como Twitter.

No es la primera y probablemente no la última vez que Apple y NSO Group, una empresa cibernética israelí, se enfrentan. En 2021, Apple presentó una demanda contra NSO Group y su empresa matriz OSY Technologies por supuestamente atacar a usuarios estadounidenses de Apple con su software espía Pegasus.

El Proyecto Pegasus reveló que el software espía, fabricado y autorizado por NSO Group, se había utilizado en intentos y éxitos de piratería de teléfonos inteligentes pertenecientes a periodistas, funcionarios gubernamentales y activistas de derechos humanos.

El software espía actúa a través de dispositivos móviles iPhone y Android y le permite acceder a mensajes, correos electrónicos, fotos o incluso grabar llamadas en secreto y activar micrófonos.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario