Apple objavio hitna ažuriranja za iOS zbog opasnog baga korišćenog za špijuniranje korisnika

Vesti, 14.09.2021, 10:00 AM

Apple objavio hitna ažuriranja za iOS zbog opasnog baga korišćenog za špijuniranje korisnika

Apple je objavio paket novih ažuriranja za iOS, iPadOS, watchOS, macOS i Safari kako bi popravio dve greške (CVE-2021-30858) i CVE-2021-30860, koje se aktivno koriste za napade na korisnike Appleovih uređaja.

Jedna od njih je greška za koju istraživači bezbednosti u Citizen Labu kažu da ju je izraelski proizvođač softvera za nadzor NSO Grupa najverovatnije iskoristio kako bi omogućio državnim agencijama da instaliraju špijunski softver na telefonima novinara, advokata i aktivista. Istraživači kažu da je greška omogućavala instalaciju bez ijednog klika (što znači da meta nije morala učiniti ništa da bi bila zaražena) špijunskog softvera Pegaz, koji je navodno može da krade podatke i lozinke sa uređaja i aktivira mikrofon telefona ili kameru.

S obzirom na ozbiljnost bagova, trebalo bi ažurirati ranjive uređaje na iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6, watchOS 7.6.2 i Safari 14.1.2 što je pre moguće.

Za zloupotrebu ove ranjivosti nazvane „ForcedEntry“ saznalo se prošlog meseca, kada je Citizen Lab objavio da je bag uspešno iskorišćen na telefonima sa iOS 14.6. ForcedEntry se aktivira samo slanjem zlonamerne poruke cilju. Bag podriva novu sigurnosnu funkciju nazvanu BlastDoor koju je Apple uveo u iOS 14 kako bi se sprečili upadi bez klika filtriranjem nepouzdanih podataka poslatih preko iMessage.

“Naše najnovije otkriće još jednog Appleovog nultog dana koji je postao deo arsenala NSO Grupe dodatno ilustruje da kompanije poput NSO Grupe omogućavaju despotizam kao uslugu neodgovornim državnim bezbednosnim agencijama”, rekli su istraživači Citizen Laba.

"Sveprisutne aplikacije za ćaskanje postale su glavna meta za najsofisticiranije aktere pretnje, uključujući državne špijunske operacije i plaćeničke špijunske kompanije koje ih opslužuju. Kako su trenutno dizajnirane, mnoge aplikacije za chat postale su neodoljiva meta”, kažu istraživači.

Citizen Lab je rekao da je na telefonu neimenovanog saudijskog aktiviste pronašli do sada neviđeni malver: lanac eksploatacije aktivira se kada žrtve dobiju tekstualnu poruku koja sadrži zlonamernu GIF sliku koja je u stvari Adobe PSD (Photoshop dokumenta ) i PDF fajlovi dizajnirani za rušenje komponente iMessage odgovorne za automatsko rendrovanje slika i primenu alata za nadzor.

Ovim setom najnovijih ažuriranja, Apple je zakrpio ukupno 15 ranjivosti nultog dana od početka ove godine.

Korisnicima Apple iPhonea, iPada, Maca i Apple Watcha savetuje se da odmah ažuriraju svoj softver kako bi umanjili sve potencijalne pretnje proizašle iz aktivnog iskorišćavanja ovih bagova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook upozoren da njegove nove pametne naočare mogu ozbiljno da ugroze privatnost ljudi

Facebook upozoren da njegove nove pametne naočare mogu ozbiljno da ugroze privatnost ljudi

Vodeće regulatorno telo EU za pitanja privatnosti izrazilo je zabrinutost zbog Facebookovih pametnih Ray-Ban naočara koje tehnološki gigant sada p... Dalje

ExpressVPN stao iza svog direktora koji je umešan u špijunski skandal

ExpressVPN stao iza svog direktora koji je umešan u špijunski skandal

Prošle nedelje je objavljeno da je vodeća izraelska kompanija za sajber bezbednost, Kape Technologies, kupila ExpressVPN po ceni od skoro milijardu ... Dalje

Zašto cveta sajber kriminal na Telegramu

Zašto cveta sajber kriminal na Telegramu

Sajber kriminalci već godinama koriste Telegram, jer je šifrovan i lak za korišćenje. Prema istraživanju koje su sproveli Financial Times i Cybe... Dalje

Objavljen besplatni univerzalni ključ za dešifrovanje za žrtve ransomwarea REvil

Objavljen besplatni univerzalni ključ za dešifrovanje za žrtve ransomwarea REvil

Dobra vest za žrtve ransomwarea REvil: objavljen je besplatni univerzalni ključ za dešifrovanje fajlova koje je šifrovao ransomware. Kompanija Bit... Dalje

Microsoft uvodi prijavljivanje bez lozinke za Microsoft naloge

Microsoft uvodi prijavljivanje bez lozinke za Microsoft naloge

Microsoft proširuje svoju opciju prijavljivanja bez lozinke sa poslovnih korisnika koji koriste Azure Active Directory (AAD) na korisničke Microsoft... Dalje