Luki zero-day w iOS i macOS infekują systemy bez interakcji użytkownika

W systemach iOS i macOS wykryto luki typu zero-day, które umożliwiają atakującym zainstalowanie złośliwego oprogramowania bez interakcji użytkownika.

Są one znane jako CVE-2023-41064 i CVE-2023-41061. Odkryli je naukowcy z Citizen Lab na Uniwersytecie w Toronto (Kanada). przywłaszczony ich popularna nazwa to BLASTPASS.

Atakujący mogą złamać bezpieczeństwo urządzenia, po prostu pobierając złośliwy obraz lub załącznik. Zwykle dzieje się to za pośrednictwem Safari, iMessage i WhatsApp. Hakerzy wykorzystują tę okazję do instalowania oprogramowania szpiegującego, w tym Pegasusa z NSO Group.

Ale muzyka nie trwała długo: Apple wydał już aktualizację zabezpieczeń dla wszystkich swoich systemów operacyjnych, w tym iPadOS i watchOS. Zaleca także, aby użytkownicy nie zwlekali z ich pobieraniem, ponieważ BLASTPASS jest aktywnie używany.

Aby jeszcze bardziej zmniejszyć ryzyko, możesz włączyć na swoich urządzeniach tryb blokady, który blokuje określone typy załączników i wyłącza podgląd linków. Eksperci zauważają, że skutecznie zapobiega to takim atakom.