Interfaz de iMessage | APPLE

TW
0

Apple ha liberado un parche de seguridad para iOS que corrige una vulnerabilidad que estaba siendo activamente explotada y que permitía la entrada en el dispositivo afectado del 'malware' espía Pegasus sin que la víctima tuviera que hacer nada.

La vulnerabilidad identificada en iOS 16.6 (recogida como CVE-2023-41064) estaba siendo activamente explotada con una cadena de explotación que desde The Citizen Lab han denominado 'BlastPass'.

Su identificación ocurrió durante la revisión de un dispositivo móvil de un empleado de una organización de la sociedad civil con sede en Washington DC (Estados Unidos), como explican desde Citizen Lab en su blog.

En concreto, descubrieron una vulnerabilidad en ImageOS que estaba siendo explotada con un 'malware' de tipo cero clic, es decir, que no requiere que la víctima pinche en ningún enlace para infectar el dispositivo móvil.

El objetivo era introducir en el iPhone el programa espía Pegasus, de la firma israelí NSO Group, y para ello solo bastaba con el envío de una imagen maliciosa a la cuenta de la víctima en iMessage.

Apple, por su parte, ya ha distribuido un parche que corrige la vulnerabilidad con la versión iOS 16.6.1, que ha extendido a iPadOS 16.6.1.