Apple corrige dos errores zero-day usados para instalar el software espía Pegasus sin intervención del usuario

Benzo
0 0 49
Noticias » Tecnología
Apple ha lanzado una actualización de seguridad para iOS y iPadOS que corrige dos exploits zero-day, que son vulnerabilidades que la compañía no conocía hasta que fue informada de su existencia. El fallo de seguridad que puso en alerta a los de Cupertino afecta a la última versión (16.6) de su sistema operativo, fue descubierto por los investigadores de Citizen Lab y pertenece a la familia zero-click, calificativo que se usa para las vulnerabilidades que consiguen infectar el dispositivo con malware sin la intervención del usuario.

Citizen Lab explica que la semana pasada, durante la revisión de un dispositivo propiedad de una persona de una organización de la sociedad civil con sede en Washington D. C. y oficinas internacionales, se descubrió una vulnerabilidad zero-click que había sido utilizada para distribuir el spyware Pegasus de NSO Group. “Nos referimos al exploit chain como Blastpass”, dicen los investigadores de Citizen Lab. “La exploit chain era capaz de comprometer iPhones que ejecutaban la última versión de iOS (16.6) sin ninguna interacción por parte de la víctima”.

Cuando Citizen Lab detectó la vulnerabilidad, se puso en contacto con Apple y colaboró en su investigación. Apple emitió dos CVE. El fallo de seguridad descubierto por Citizen Lab e identificado como CVE-2023-41064, permitía que dispositivos como iPhone y iPad fueran vulnerables al procesar una imagen creada con fines malintencionados y afectaba al framework Image I/O. La otra vulnerabilidad, CVE-2023-41061, fue descubierta por la propia Apple y actuaba de forma similar, pero en su caso surgió en el Wallet y activaba la exploit chain cuando el dispositivo recibía archivo adjunto creado con fines malintencionados.

Este tipo de ataques extremadamente refinados van dirigidos a personas muy específicas, pero en cualquier caso tanto Apple como Citizen Lab instan a todos los usuarios a actualizar sus dispositivos. Citizen Lab añade que todos los que puedan enfrentarse a un mayor riesgo debido a quiénes son o qué hacen, activen el modo aislamiento de iOS 16 que bloquea este tipo de ataque en particular. “Este descubrimiento muestra una vez más que la sociedad civil es blanco de exploits altamente sofisticados y al spyware mercenario”, dice Citizen Lab.

NSO Group no vende el spyware Pegasus a particulares y limita su comercialización a gobiernos autorizados para ayudar a combatir el terrorismo y el crimen. Sin embargo, algunos países como España también lo usan para espiar a políticos, periodistas y otros miembros de la sociedad civil.
49 comentarios
  1. La última versión era la 16.6. La 16.6.1 es la parcheada.
  2. ¿No se supone que Pegasus sólo lo usan gobiernos amigos?
  3. Vaya trola, si Apple es mega seguro, lo dicen sus anuncios.
  4. La estrategia de Apple para esto ha sido la ostia, la verdad

    Basicamente, demuestra que sabes de programacion y seguridad, inscribete en su web demostrandolo y ale, acambio de buscarles bugs te regalan un iPhone 14 PRO MAX

    lovechii5 escribió:Vaya trola, si Apple es mega seguro, lo dicen sus anuncios.


    Por favor, ni me compares un Android con un iPhone, y mas si estamos hablando encima de que eran exploits para PEGASUS, ¿Que vale cada hackeo que, 500k?, ¿Te van a hackear a ti porque tienes muchas cosas importantes? XD, eso se guarda para politicos

    PD: https://support.apple.com/es-us/guide/i ... 680987/ios
  5. lovechii5 escribió:Vaya trola, si Apple es mega seguro, lo dicen sus anuncios.


    Más seguro que android por lo general es. Por poner un ejemplo, mírate cómo funciona el tema de pagar con Apple pay o Google pay.
  6. Yo, como colegas que tienen y gastan productos de Apple (es su dinero y se lo folla como quiere), y defienden la marca a muerte como si les pagasen o se llevasen comisión, siempre ando con el sarcasmo de:

    "Como puede ser, si las cosas de la Manzana Mordida son perfectas, bendecidas, santificadas, glorificadas, sublimes.".

    Nada es perfecto, Android mucho menos, lo llamo Bugdroid.

    PD: yo pago con Samsung Pay.

    Benzo escribió:NSO Group no vende el spyware Pegasus a particulares y limita su comercialización a gobiernos autorizados para ayudar a combatir el terrorismo y el crimen. Sin embargo, algunos países como España también lo usan para espiar a políticos, periodistas y otros miembros de la sociedad civil.

    Ahí te quería yo ver.
  7. Pues bien menos un problema
  8. No lo llames quitar "puertas traseras", llámalo solucionar "errores zero-day".
  9. Aysss q error más tonto
  10. 256k escribió:Por favor, ni me compares un Android con un iPhone, y mas si estamos hablando encima de que eran exploits para PEGASUS, ¿Que vale cada hackeo que, 500k?, ¿Te van a hackear a ti porque tienes muchas cosas importantes? , eso se guarda para politicos


    Si, todo son risas hasta que te toca a ti. Si yo no he hecho nada malo, a mí no me van a hacer nada... Hasta que ser de tu religión sea malo, o pensar diferente a alguien sea malo, o ser gay sea malo, o ganar mucho o poco sea malo...
    Estamos camino de una sociedad completamente polarizada, ahora pensar diferente a otro te convierte en su enemigo... directamente y sin pasar por la casilla de salida... Enemigo. Nunca sobreestimes a alguien que quiere el poder a toda costa (tenemos ejemplos MUY cerca). Lo peor es que no hay ningún sistema 100% seguro. Lo mejor el sentido común y la precaución.

    lordbox escribió:No lo llames quitar "puertas traseras", llámalo solucionar "errores zero-day".


    Comparar un exploit de estas características con una puerta trasera es un poco 'arriesgado' ¿no?
Ver más comentarios »