Un exploit zero-click et zero-day de l’iPhone utilisé par le groupe NSO observé dans la nature

 (citizenlab.ca)
1 points par GN⁺ 2023-09-08 | 1 commentaires | Partager sur WhatsApp
  • Apple a annoncé des mises à jour pour ses produits, dont l’iPhone, l’iPad, les ordinateurs Mac et l’Apple Watch, afin de corriger une vulnérabilité zero-click exploitée par le spyware Pegasus du groupe NSO
  • Une exploitation baptisée BLASTPASS a été découverte par Citizen Lab sur l’appareil appartenant à une personne d’une organisation de la société civile basée à Washington, DC
  • BLASTPASS peut compromettre un iPhone exécutant la dernière version d’iOS (16.6) sans aucune interaction de la victime, en utilisant une image malveillante envoyée via iMessage
  • Citizen Lab a signalé sa découverte à Apple et a coopéré à l’enquête, ce qui a conduit à l’émission de deux CVE liés à cette chaîne d’exploitation (CVE-2023-41064 et CVE-2023-41061)
  • Il est recommandé aux utilisateurs de mettre à jour immédiatement leurs appareils et d’envisager d’activer le Lockdown Mode, connu pour bloquer cette attaque spécifique
  • La découverte de BLASTPASS souligne l’importance de soutenir les organisations de la société civile, qui servent souvent de système d’alerte précoce face aux cybermenaces complexes
  • Les mises à jour d’Apple contribueront à protéger les appareils du grand public, des entreprises et des gouvernements dans le monde entier

À lire aussi

1 commentaires

 
GN⁺ 2023-09-08
Discussion sur Hacker News
  • Discussion d’un article sur l’exploit zero-click et zero-day pour iPhone du groupe NSO
  • Certains utilisateurs trouvent intéressant que le mode Lockdown, malgré des avantages potentiels comme l’économie de batterie, ne soit recommandé qu’aux utilisateurs directement exposés à un risque
  • Cet exploit inclut un buffer overflow dans le décodage d’images, similaire à un exploit antérieur de 2021
  • Des inquiétudes sont exprimées quant au nombre d’exploits visant iMessage, avec une proposition de limiter le premier message provenant de nouveaux contacts au texte brut et de restreindre les autres messages à un sous-ensemble très limité
  • L’article mentionne qu’un correctif pour cet exploit a été publié le même jour que l’annonce, et exhorte les utilisateurs à appliquer la mise à jour
  • Certains utilisateurs estiment que l’inscription du groupe NSO sur la liste noire du département du Commerce ne suffit pas et qu’il devrait faire l’objet de sanctions plus sévères
  • Des spéculations portent sur la question de savoir si le mode Lockdown aurait pu empêcher cette attaque, ainsi que sur le fait d’avoir déjà été ciblé par une attaque exploitant une vulnérabilité zero-day
  • Certains utilisateurs se disent surpris que la faute soit souvent rejetée sur les victimes (iMessage d’Apple et ses utilisateurs) plutôt que sur les auteurs (NSO et ses clients), avec la proposition que NSO soit désigné comme groupe de cyberterrorisme
  • L’article mentionne un fil de discussion en cours sur le fait qu’iOS 16.6.1 corrige deux vulnérabilités activement exploitées dans la nature
  • Certains utilisateurs expriment des inquiétudes quant à la sécurité des téléphones Android, compte tenu de la fréquence des mises à jour et de la possibilité d’exploits
  • Une question est soulevée sur l’existence éventuelle, chez Apple, d’un moyen de détecter les victimes de ce type d’exploit et de notifier les utilisateurs lorsqu’un correctif de sécurité est publié