Se ha corregido la vulnerabilidad que permitía la instalación del software espía Pegasus en la actualización iOS 16.6.1.
Exploit que entregaba spyware Pegasus parchado en la actualización iOS 16.6.1
Las actualizaciones del sistema operativo de Apple el jueves parchearon una cadena de exploits capaz de comprometer dispositivos iOS 16.6 con el spyware Pegasus sin ninguna interacción por parte de la víctima.
El exploit fue descubierto en un iPhone propiedad de una persona empleada por una organización de la sociedad civil con sede en Washington DC. El exploit se utilizó para entregar el spyware mercenario Pegasus del grupo NSO.
El Citizen Lab de Toronto afirma que el exploit involucra a PassKit que contiene «imágenes maliciosas enviadas desde una cuenta de iMessage del atacante a la víctima».
Citizen Lab reveló sus hallazgos a Apple, quien emitió rápidamente CVE-2023-41064 y CVE-2023-41061 relacionados con la cadena de exploits. El parche iOS 16.6.1 soluciona la brecha de seguridad y el informe del jueves de Citizen Lab lo confirma.
Tanto Citizen Lab como AppleInsider recomiendan que los propietarios de iPhone actualicen sus dispositivos tan pronto como sea posible. Los usuarios pueden descargar la corrección de seguridad abriendo la aplicación Configuración, tocando Actualización de software e instalando iOS 16.6.1 desde el menú.
Los investigadores de seguridad publicarán una discusión más detallada de la cadena de exploits en el futuro.