Cập nhật Thiết Bị Apple Của Bạn Để Khắc Phục Lỗ Hổng Zero-Click Nguy Hiểm
Nếu bạn sở hữu bất kỳ thiết bị Apple nào, đó là lúc để bạn nhanh chóng cập nhật phần mềm. Các nhà nghiên cứu tại The Citizen Lab đã phát hiện ra một lỗ hổng zero-day cho phép hacker cài đặt phần malware lên iPhone mà không cần sự tương tác từ phía nạn nhân. Lỗ hổng này đã được sử dụng để phân phối phần mềm độc hại Pegasus của NSO Group. Để khắc phục lỗ hổng này, Apple đang gửi đi cập nhật bảo mật cho iPhone, Mac, iPad và Apple Watch.
“Chuỗi lỗ hổng” cụ thể này tận dụng API PassKit của Apple. Do đó, The Citizen Lab đặt tên cho nó là “BLASTPASS,” mặc dù nó đã được đăng ký dưới các mã CVE-2023-41064 và CVE-2023-41061. Mặc dù chi tiết rõ ràng của BLASTPASS chưa được biết, The Citizen Lab xác nhận rằng đó là lỗ hổng zero-click – ảnh độc hại được gửi đến nạn nhân qua iMessage và mà không cần sự tương tác nào, những hình ảnh này sẽ cài đặt phần mềm độc hại lên iPhone của nạn nhân.
The Citizen Lab đã phát hiện ra BLASTPASS trong quá trình điều tra nguồn gốc của phần mềm độc hại Pegasus trên thiết bị của một công nhân thuộc tập đoàn xã hội dân sự có trụ sở tại Washington DC. Như bạn có thể biết, Pegasus là một phần mềm độc hại thuê được phát triển bởi NSO Group có trụ sở tại Israel và được bán cho các tổ chức chính phủ. Nó được mô tả là một công cụ chống khủng bố hoặc công cụ trong thời chiến, mặc dù nó thường được sử dụng để tấn công những người biểu tình, nhà báo, nhà hoạt động, chính khách và những người khác có liên quan. Apple đã lên tiếng chỉ trích NSO Group và thậm chí kiện NSO Group vì việc bán phần mềm độc hại này, và họ tạo ra Chế độ khóa để bảo vệ các nạn nhân tiềm năng khỏi Pegasus trên iPhone, Mac, iPad và Apple Watch. (Trong cuộc trò chuyện với The Citizen Lab, Apple khẳng định rằng BLASTPASS không thể đánh lừa Chế độ khóa.)
Người thông thường không cần lo lắng quá nhiều về phần mềm độc hại Pegasus – nó chỉ được sử dụng để tấn công “kẻ thù” của một số chính quyền. Và để biết, Chế độ khóa khiến các thiết bị của bạn gần như vô dụng và không nên sử dụng ngoài các hoàn cảnh cấp thiết. Nhưng lỗ hổng BLASTPASS là đáng lo ngại, vì nó có thể được sử dụng bởi hacker vụ lợi nhỏ để phân phối bất kỳ dạng malware nào. Cập nhật thiết bị Apple của bạn sẽ khắc phục BLASTPASS và bảo vệ bạn khỏi lỗ hổng zero-click này.
Vào thời điểm viết bài này, bản vá này chỉ có sẵn trên các phiên bản firmware Apple hiện tại (iOS 16, macOS 13, v.v.). Các phiên bản cập nhật là như sau – iOS 16.6.1, macOS 13.5.2, iPadOS 16.6.1 và watchOS 9.6.2 – nếu thiết bị Apple của bạn không nhắc bạn cập nhật, bạn phải kích hoạt một cập nhật thủ công bằng cách vào Cài đặt, nhấp vào “Tổng quan” và chọn “Cập nhật phần mềm.”
Nguồn: The Citizen Lab qua Ars Technica
Nguồn: https://www.howtogeek.com/update-your-iphone-and-mac-to-patch-a-critical-zero-click-exploit/
If you own any Apple hardware, it’s time for a quick software update. Researchers at The Citizen Lab have discovered a zero-day exploit that allows hackers to install malware on an iPhone without any interaction from the victim. This exploit has already been used to distribute NSO Group’s Pegasus spyware. To address the vulnerability, Apple is pushing security updates to the iPhone, Mac, iPad, and Apple Watch.
This particular “exploit chain” takes advantage of Apple’s PassKit API. As such, The Citizen Lab refers to it as “BLASTPASS,” though it’s registered under CVE-2023-41064 and CVE-2023-41061. While the dirty details of BLASTPASS are unknown, The Citizen Lab confirms that it’s a zero-click exploit — malicious images are sent to a victim through iMessage, and without any interaction, the images install malware on the victim’s iPhone.
The Citizen Lab discovered BLASTPASS while investigating the origin of Pegasus spyware on a “Washington DC-based civil society organization” worker’s device. As you may know, Pegasus is a mercenary spyware developed by the Israel-based NSO Group and sold to government organizations. It’s described as an anti-terrorism or wartime tool, though it’s regularly used to target dissidents, journalists, activists, politicians, and other people of interest. Apple has repeatedly criticized (and even sued) NSO Group for selling this spyware, and it created a Lockdown Mode to protect potential victims from Pegasus on iPhone, Mac, iPad, and Apple Watch. (In conversation with The Citizen Lab, Apple claims that BLASTPASS cannot get around Lockdown Mode.)
Ordinary people shouldn’t worry too much about Pegasus spyware—it’s only been used to target the “enemies” of certain governments. And, for the record, Lockdown Mode makes your devices near-useless and shouldn’t be used outside of extreme circumstances. But the BLASTPASS exploit is concerning, as it may be used by small-time hackers to distribute any form of malware. Updating your Apple devices will patch BLASTPASS and protect you from this zero-click exploit.
At the time of writing, this patch is only available on current-gen Apple firmware releases (iOS 16, macOS 13, etc). The update versions are as follows—iOS 16.6.1, macOS 13.5.2, iPadOS 16.6.1, and watchOS 9.6.2—if your Apple devices do not prompt you to update, you must trigger a manual update by entering Settings, clicking “General,” and selecting “Software Update.”
Source: The Citizen Lab via Ars Technica
