Neste feriado de 7 de setembro, a Apple liberou uma atualização crucial para seu sistema operacional, visando corrigir uma vulnerabilidade que poderia comprometer dispositivos iOS 16.6 com o spyware Pegasus, da empresa NSO Group, sem que o usuário fizesse nada.
A descoberta dessa falha preocupante ocorreu quando um iPhone pertencente a um funcionário de uma organização da sociedade civil sediada em Washington DC foi alvo de um ataque.
A vulnerabilidade foi explorada para entregar o perigoso spyware Pegasus, que é conhecido por suas capacidades de espionagem abrangentes.
De acordo com os pesquisadores da Citizen Lab, com sede em Toronto, o exploit envolveu o uso de imagens maliciosas enviadas de uma conta iMessage do atacante para a vítima, por meio do aplicativo PassKit.
A Citizen Lab relatou suas descobertas à Apple, que agiu rapidamente emitindo as correções necessárias.
As correções de segurança relacionadas a essa vulnerabilidade foram identificadas como CVE-2023-41064 e CVE-2023-41061, e estão contidas na atualização iOS 16.6.1.
A importância dessa atualização não pode ser subestimada, já que ela fecha uma porta que poderia permitir a instalação do spyware Pegasus sem que os usuários fossem conscientes disso.
Portanto, especialistas em segurança recomendam enfaticamente que os proprietários de dispositivos iPhone atualizem seus sistemas para o iOS 16.6.1 o mais rapidamente possível. Quem está testando a versão beta do iOS 17, deverá esperar uma nova atualização em breve.
Embora os detalhes técnicos completos do exploit ainda não tenham sido divulgados publicamente, os pesquisadores de segurança da Citizen Lab planejam publicar uma discussão mais aprofundada sobre o assunto no futuro. Isso ajudará a comunidade de segurança a entender melhor a natureza da vulnerabilidade e suas implicações.
