Apple objavio hitna ažuriranja za iOS zbog opasnog baga korišćenog za špijuniranje korisnika

Vesti, 14.09.2021, 10:00 AM

Apple objavio hitna ažuriranja za iOS zbog opasnog baga korišćenog za špijuniranje korisnika

Apple je objavio paket novih ažuriranja za iOS, iPadOS, watchOS, macOS i Safari kako bi popravio dve greške (CVE-2021-30858) i CVE-2021-30860, koje se aktivno koriste za napade na korisnike Appleovih uređaja.

Jedna od njih je greška za koju istraživači bezbednosti u Citizen Labu kažu da ju je izraelski proizvođač softvera za nadzor NSO Grupa najverovatnije iskoristio kako bi omogućio državnim agencijama da instaliraju špijunski softver na telefonima novinara, advokata i aktivista. Istraživači kažu da je greška omogućavala instalaciju bez ijednog klika (što znači da meta nije morala učiniti ništa da bi bila zaražena) špijunskog softvera Pegaz, koji je navodno može da krade podatke i lozinke sa uređaja i aktivira mikrofon telefona ili kameru.

S obzirom na ozbiljnost bagova, trebalo bi ažurirati ranjive uređaje na iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6, watchOS 7.6.2 i Safari 14.1.2 što je pre moguće.

Za zloupotrebu ove ranjivosti nazvane „ForcedEntry“ saznalo se prošlog meseca, kada je Citizen Lab objavio da je bag uspešno iskorišćen na telefonima sa iOS 14.6. ForcedEntry se aktivira samo slanjem zlonamerne poruke cilju. Bag podriva novu sigurnosnu funkciju nazvanu BlastDoor koju je Apple uveo u iOS 14 kako bi se sprečili upadi bez klika filtriranjem nepouzdanih podataka poslatih preko iMessage.

“Naše najnovije otkriće još jednog Appleovog nultog dana koji je postao deo arsenala NSO Grupe dodatno ilustruje da kompanije poput NSO Grupe omogućavaju despotizam kao uslugu neodgovornim državnim bezbednosnim agencijama”, rekli su istraživači Citizen Laba.

"Sveprisutne aplikacije za ćaskanje postale su glavna meta za najsofisticiranije aktere pretnje, uključujući državne špijunske operacije i plaćeničke špijunske kompanije koje ih opslužuju. Kako su trenutno dizajnirane, mnoge aplikacije za chat postale su neodoljiva meta”, kažu istraživači.

Citizen Lab je rekao da je na telefonu neimenovanog saudijskog aktiviste pronašli do sada neviđeni malver: lanac eksploatacije aktivira se kada žrtve dobiju tekstualnu poruku koja sadrži zlonamernu GIF sliku koja je u stvari Adobe PSD (Photoshop dokumenta ) i PDF fajlovi dizajnirani za rušenje komponente iMessage odgovorne za automatsko rendrovanje slika i primenu alata za nadzor.

Ovim setom najnovijih ažuriranja, Apple je zakrpio ukupno 15 ranjivosti nultog dana od početka ove godine.

Korisnicima Apple iPhonea, iPada, Maca i Apple Watcha savetuje se da odmah ažuriraju svoj softver kako bi umanjili sve potencijalne pretnje proizašle iz aktivnog iskorišćavanja ovih bagova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje