Alcuni ricercatori hanno scoperto un nuovo attacco zero-click che ha preso di mira sia iOS 14.4 che iOS 14.6, mettendo in pericolo la sicurezza degli utenti.
Lo strumento di hacking Pegasus di NSO Group è stato protagonista di diverse critiche, dopo la scoperta del suo utilizzo per hackerare e spiare gli iPhone di giornalisti e attivisti per i diritti umani. In questi giorni, un gruppo di ricercatori ha scoperto che NSO è riuscita ad aggiornare lo spyware per attivare un nuovo attacco zero-click contro le versioni più recenti di iOS, come iOS 14.4 e iOS 14.6.
A febbraio, uno di questi attacchi ha preso di mira l’iPhone 12 Pro di un attivista per i diritti umani del Bahrain. L’attacco non richiede alcuna interazione da parte della vittima e sfrutta una vulnerabilità già conosciuta di iMessage, grazie alla quale è possibile installare di nascosto Pegasus su iPhone.
L’hack è importante per due motivi; il primo è che ha sfruttato con successo l’ultima versione di iOS dell’epoca, iOS 14.4, nonché il successivo aggiornamento a iOS 14.6 di maggio. In secondo luogo, l’attacco ha sconfitto una funzionalità di sicurezza introdotta da Apple in iOS 14 per mitigare i dati dannosi in iMessage denominata “BlastDoor”.
I ricercatori hanno informato Apple dell’exploit scoperto, ma al momento l’azienda non ha fatto ancora sapere se il bug di sicurezza è stato corretto o meno.