De acordo com o Citizen Lab dois zero dias foram corrigidos pela Apple e em atualizações de segurança de emergência. Essas vulnerabilidades foram ativamente abusadas como parte de uma cadeia de exploração de clique zero para implantar o spyware comercial Pegasus do Grupo NSO em iPhones totalmente corrigidos.
O que é iMessage?
O iMessage é um serviço de mensagens instantâneas da Apple que permite enviar e receber textos, fotos, vídeos, áudios e outros tipos de conteúdo entre dispositivos iOS, macOS e watchOS. O iMessage usa a conexão de internet do usuário, seja Wi-Fi ou dados móveis, para transmitir as mensagens, sem cobrar tarifas adicionais. O iMessage se diferencia dos SMS e MMS tradicionais por oferecer recursos como criptografia de ponta a ponta, efeitos animados, stickers, mensagens de voz e pagamento pelo Apple Pay.
Vulnerabilidades do iMessage utilizadas para infectar iPhones com spyware
As duas vulnerabilidades, rastreadas como CVE-2023-41064 e CVE-2023-41061, permitiram que os invasores infectassem um iPhone totalmente corrigido com iOS 16.6 e pertencente a uma organização da sociedade civil com sede em Washington DC por meio de anexos do PassKit contendo imagens maliciosas.
Nos referimos à cadeia de exploração como BLASTPASS . A cadeia de exploração foi capaz de comprometer iPhones rodando a versão mais recente do iOS (16.6) sem qualquer interação da vítima.
Citizen Lab
A exploração envolveu anexos do PassKit contendo imagens maliciosas enviadas de uma conta iMessage do invasor para a vítima.
O Citizen Lab também pediu aos clientes da Apple que atualizassem seus dispositivos imediatamente e encorajou aqueles que correm risco de ataques direcionados devido à sua identidade ou profissão a ativar o Modo Lockdown. Os pesquisadores de segurança da Apple e do Citizen Lab descobriram os dois dias zero nas estruturas Image I/O e Wallet.? CVE-2023-41064 é um buffer overflow acionado durante o processamento de imagens criadas com códigos maliciosos, enquanto a CVE-2023-41061 é um problema de validação que pode ser explorado por meio de anexos maliciosos.
Ambas permitem que os agentes de ameaças obtenham a execução arbitrária de códigos em dispositivos iPhone e iPad não corrigidos. A Apple corrigiu as falhas no macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2 com lógica aprimorada e manuseio de memória.
Dispositivos afetados pelas falhas
A lista de dispositivos afetados inclui:
- iPhone 8 e posterior;
- iPad Pro (todos os modelos), iPad Air de 3ª geração e posteriores, iPad de 5ª geração e posteriores e iPad mini de 5ª geração e posteriores;
- Macs executando macOS Ventura;
- Apple Watch Série 4 e posterior.
Desde o início do ano, a Apple corrigiu um total de 13 explorações de dia zero para atingir dispositivos que executam iOS, macOS, iPadOS e watchOS, incluindo: dois zero dias (CVE-2023-37450 e CVE-2023-38606) em julho; três zero dias (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) em junho; mais três zero dias (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) em maio; dois zero dias (CVE-2023-28206 e CVE-2023-28205) em abril e; outro zero dia do WebKit (CVE-2023-23529) em fevereiro.
