חוקרי אבטחה מ-Citizen Lab זיהוי פרצת אבטחה חדשה במערכת ה-iOS של אפל, פרצה שזכתה לשם BLASTPASS ואיפשרה לתוכנת הסייבר ההתקפית פגסוס של NSO להדביק מכשירים שהשתמשו במערכת ה-iOS 16.6 העדכנית של אפל ללא צורך בפעולה כלשהי של המשתמש (zero-click exploit), פרצה שתוקנה עם שחרור גרסה iOS 16.6.1 על ידי אפל.
פירצת ה-BLASTPASS החדשה שזיהו חוקרי האבטחה מורכבת למעשה מחולשת האבטחה CVE-2023-41061 בארנק ה-Wallet של אפל וחולשת ה-CVE-2023-41064 במנגנון עיבוד התמונות ImageIO.
היא איפשרה להריץ קוד זדוני שהוטמע בתוך תמונה, צורת עבודה המזכירה מעט את ה-GIF הזדוני בו השתמשה NSO בעבר.
במקרה הנוכחי, פגסוס ניצלה את מנגנון ה-PassKit של אפל, המאפשר להוסיף “כרטיסים” לארנק על ידי משלוח קובץ כרטיס המכיל תמונה זדונית דרך אפליקציית ה-iMessage של אפל.
ברגע שהמכשיר קיבל את הקובץ וניתח את התמונה על ידי מנגנון ה-ImageIO, הופעל קוד זדוני שאפשר לפגסוס לנצל את החולשה בארנק, לפרוץ את מערכת ההגנה BlastDoor של אפל ולהדביק את המכשיר, זאת מבלי שהמשתמש היה צריך לעשות דבר.
NEW: Last week, we @citizenlab captured a "zero-click" exploit used to install Pegasus on the latest version of iOS, 16.6. The exploit installed Pegasus without any interaction from the victim, and was virtually invisible https://t.co/MxPrAThwa1
— Bill Marczak (@billmarczak) September 7, 2023
חברת אפל שחררה עדכון 16.6.1 למערכות ה-iPadOS ו-iOS על מנת לתקן את צמד פרצות האבטחה החדשות.
פרצת ה-BLASTPASS והעובדה כי משתמשים לא היו צריכים לעשות דבר על מנת להידבק בפגסוס במידה והם היו היעד לתקיפה מעלה מחדש את הפתרון שהציגה אפל למשתמשים בסיכון גבוהה בדמות ה-Lockdown Mode (“מצב סגר”), שמגביל מאוד את השימוש הרגיל באייפון מצד אחד, אך מצד שני משדרג את אבטחת המכשיר.
