iOS 14.8 correzione bug Apple

iOS 14.8, correzione di sicurezza urgente, aggiornate subito

Apple ha rilasciato un aggiornamento che ripara pericolosi bug nella sicurezza di iPhone, iPad, Apple Watch e Mac
iOS 14.8, correzione di sicurezza urgente, aggiornate subito FASTWEB S.p.A.

All'inizio di questa settimana Apple ha rilasciato aggiornamenti di sicurezza per i suoi iPhone, iPad, Apple Watch e computer Mac che riparano una vulnerabilità sfruttata  da uno spyware invasivo creato da NSO Group, una società informatica israeliana. 

Lunedì, il gigante della tecnologia ha pubblicato una nota di sicurezza per iOS 14.8 e iPadOS 14.8 secondo cui alcuni PDF dannosi potrebbero trarre vantaggio dai suoi sistemi operativi. "L'elaborazione di un PDF pericoloso può portare all'esecuzione di codice arbitrario", si legge nella nota. "Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato". 

Apple ha anche rilasciato WatchOS 7.6.2, MacOS Big Sur 11.6 e un aggiornamento di sicurezza per MacOS Catalina per affrontare questa vulnerabilità. 

La correzione, riportata in precedenza dal New York Times, deriva da una ricerca condotta da un gruppo di sicurezza informatica chiamato Citizen Lab che ha scoperto che il telefono di un attivista saudita era stato infettato da Pegasus, il prodotto più noto di NSO. Secondo Citizen Lab, l'exploit zero-day e zero-click contro iMessage, soprannominato ForcedEntry, prende di mira la libreria di rendering delle immagini di Apple ed è stato efficace contro iPhone, laptop e Apple Watch dell'azienda. 

Citizen Lab, con sede presso l'Università di Toronto, afferma di aver determinato che NSO ha utilizzato la vulnerabilità per infettare in remoto i dispositivi con il suo spyware Pegasus, aggiungendo che ritiene che l'exploit sia stato utilizzato almeno da febbraio.

Ha esortato tutti gli utenti Apple ad aggiornare immediatamente i propri sistemi operativi.

"Le app di chat onnipresenti sono diventate un obiettivo importante per i più sofisticati attori delle minacce, comprese le operazioni di spionaggio di stati nazionali e le società di spyware mercenarie che le servono", ha affermato Citizen Lab in un rapporto. "Per come sono attualmente progettate, molte app di chat sono diventate un irresistibile soft target".

L'aggiornamento di sicurezza è stato lanciato un giorno prima che Apple svelasse i suoi nuovi prodotti, tra cui iPad, Apple Watch e iPhone. L'azienda ha utilizzato il lancio autunnale dei dispositivi, che è uno degli eventi annuali più importanti dell'azienda, per promuovere le sue misure di sicurezza. Dicendo che la privacy è "integrata dall'inizio", Apple ha affermato che la prossima versione del suo software iOS bloccherà i tracker e impedirà il monitoraggio della posta elettronica, tra le altre disposizioni di sicurezza.

Apple ha ringraziato Citizen Lab per aver fornito un campione dell'exploit, che secondo il produttore di iPhone non era una minaccia per la maggior parte dei suoi utenti.

"Gli attacchi come quelli descritti sono altamente sofisticati, costano milioni di dollari per essere sviluppati, spesso hanno una breve durata e sono usati per colpire individui specifici", ha detto in una nota Ivan Krstić, che gestisce le operazioni di ingegneria e architettura della sicurezza di Apple. "Anche se ciò significa che non rappresentano una minaccia per la stragrande maggioranza dei nostri utenti, continuiamo a lavorare instancabilmente per difendere tutti i nostri clienti e aggiungiamo costantemente nuove protezioni per i loro dispositivi e dati".

A luglio, i ricercatori hanno trovato prove di installazioni tentate o riuscite di Pegasus su 37 telefoni di attivisti, giornalisti e uomini d'affari. Tutti i dispositivi tranne tre erano iPhone. Alcune persone sembrano essere state bersagli di sorveglianza segreta tramite Pegasus, software che dovrebbe essere utilizzato per perseguire criminali e terroristi. Secondo quanto riferito, lo spyware è in  grado di accedere e registrare testi, video, foto e attività web, nonché di registrare passivamente e recuperare le password su un dispositivo. 

NSO ha rilasciato una dichiarazione e ha affermato che "continuerà a fornire servizi alle agenzie di intelligence e alle forze dell'ordine di tutto il mondo con tecnologie salvavita per combattere il terrorismo e la criminalità".

La società, che concede in licenza il software di sorveglianza alle agenzie governative, afferma che il suo software Pegasus aiuta le autorità a combattere criminali e terroristi che sfruttano la tecnologia di crittografia per diventare “invisibili". Pegasus funziona segretamente sugli smartphone, fornendo informazioni su ciò che stanno facendo i loro proprietari. Anche altre aziende forniscono software simili.

Il CEO Shalev Hulio ha co-fondato l'azienda nel 2010. Oltre a Pegasus, NSO offre altri strumenti che individuano dove viene utilizzato un telefono, si difendono dai droni e minano i dati delle forze dell'ordine per individuare i modelli.

NSO è stata implicata in altri hack, incluso l’hack di alto profilo del fondatore di Amazon Jeff Bezos nel 2018. 
 

Fonte: cnet.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail