Crédits images : MENAHEM KAHANA/AFP via Getty Images / Getty Images
Apple a publié jeudi des mises à jour de sécurité qui corrigent deux exploits zero-day – c’est-à-dire des techniques de piratage inconnues au moment où Apple les a découverts – utilisées contre un membre d’une organisation de la société civile à Washington DC, selon les chercheurs qui ont découvert les vulnérabilités. .
Citizen Lab, un groupe de surveillance Internet qui enquête sur les logiciels malveillants gouvernementaux, a publié un court article de blog expliquant que la semaine dernière, ils ont découvert une vulnérabilité zéro clic – ce qui signifie que la cible des pirates n’a pas besoin d’appuyer ou de cliquer sur quoi que ce soit, comme une pièce jointe – utilisée pour cibler les victimes avec des logiciels malveillants. Les chercheurs ont déclaré que la vulnérabilité était utilisée dans le cadre d’une chaîne d’exploitation conçue pour diffuser le logiciel malveillant de NSO Group, connu sous le nom de Pegasus.
“La chaîne d’exploitation était capable de compromettre les iPhones exécutant la dernière version d’iOS (16.6) sans aucune interaction de la victime”, a écrit Citizen Lab.
Une fois la vulnérabilité trouvée, les chercheurs l’ont signalée à Apple, qui a publié un correctif jeudi, remerciant Citizen Lab de les avoir signalés.
Sur la base de ce que Citizen Lab a écrit dans le billet de blog et du fait qu’Apple a également corrigé une autre vulnérabilité et attribué sa découverte à l’entreprise elle-même, il semble qu’Apple ait découvert la deuxième vulnérabilité en enquêtant sur la première.
Lorsqu’il a été contacté pour commenter, le porte-parole d’Apple, Scott Radcliffe, n’a pas commenté et a renvoyé TechCrunch aux notes de la mise à jour de sécurité.
Citizen Lab a déclaré avoir appelé la chaîne d’exploits BLASTPASS, car elle impliquait PassKitun framework qui permet aux développeurs d’inclure Apple Pay dans leurs applications.
«Une fois de plus, la société civile sert de système d’alerte précoce en matière de cybersécurité pour… des milliards d’appareils dans le monde», John Scott-Railton, chercheur principal au Citizen Lab, organisme de surveillance d’Internet. a écrit sur Twitter.
Citizen Lab a recommandé à tous les utilisateurs d’iPhone de mettre à jour leur téléphone.
NSO n’a pas immédiatement répondu à une demande de commentaires.
Avez-vous plus d’informations sur NSO Group ou un autre fournisseur de technologie de surveillance ? Ou des informations sur des hacks similaires ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail à [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.
2023-09-07 23:51:24
1694124398
#Apple #corrige #des #bugs #jour #zéro #utilisés #pour #installer #logiciel #espion #Pegasus
