Nelle scorse ore Apple ha rilasciato una patch, aggiornamento di sicurezza di emergenza, per i suoi sistemi operativi iOS, iPadOS, macOS e watchOS, per risolvere due falle cosiddette zero-day che sarebbero state sfruttate per diffondere lo spyware Pegasus di NSO Group, considerato uno dei software più potenti al mondo per spiare i dispositivi altrui. Viene riscontrato un “problema di convalida in Wallet che potrebbe comportare l’esecuzione di codice arbitrario durante la gestione di un allegato dannoso”, e un altro di “overflow del buffer nel componente I/O immagine che potrebbe comportare l’esecuzione di codice arbitrario durante l’elaborazione di un’immagine dannosa”.
A scovare la presenza dello spyware nei sistemi operativi Apple sono stati i ricercatori del gruppo di controllo digitale Citizen Lab. La falla sarebbe emersa di preciso la scorsa settimana, analizzando un dispositivo di Cupertino: “Attribuiamo l’exploit allo spyware Pegasus di NSO Group con grande sicurezza, sulla base delle analisi forensi che abbiamo sul dispositivo preso di mira”, le parole di Bill Marczak, ricercatore senior presso Citizen Lab. Secondo lo stesso, l’aggressore avrebbe commesso un errore durante l’installazione, e di conseguenza Citizen Lab avrebbe trovato lo spyware.
APPLE, SCOPERTA FALLA SFRUTTATA DA SPYWARE PEGASUS: L’ATTACCO GIÀ BLOCCATO DALLA MODALITÀ LOCKDOWN
Apple ha spiegato che la funzionalità di alta sicurezza denominata “Modalità Lockdown”, disponibile sui dispositivi della Mela, blocca attacchi di questo tipo: “Ciò dimostra che la società civile funge ancora una volta da sistema di allerta precoce in caso di attacchi davvero sofisticati”, le parole John Scott-Railton, ricercatore senior presso Citizen Lab.
In ogni caso l’azienda ha deciso di rilasciare una patch per correggere la falla. Dal suo canto NSO rimanda al mittente ogni accusa: “Non siamo in grado di rispondere ad alcuna accusa che non includa alcuna ricerca di supporto”. Ricordiamo che l’azienda israeliana è stata inserita nella Black List degli Stati Uniti da due anni, 2021, per presunti abusi tecnologici. Sono attesi aggiornamenti nei prossimi giorni.