Фото 9To5Mac
Apple выпустила обновления iOS 14.8, watchOS 7.6.2 и macOS Big Sur 11.6 с устранением критической уязвимости, которая позволяла заражать устройства шпионской программой Pegasus. Она крала данные и скрыто активировала камеру с микрофоном для слежки.
Эксплоит использовался одной из самых известных в мире хакерских фирм NSO Group. Специалисты Citizen Lab выяснили и уведомили Apple, что он был связан с ошибкой в системе CoreGraphics. Злоумышленники могли отправлять файлы, которые выглядели как GIF-изображения, но на самом деле являлись PSD и PDF с вредоносным кодом. Система неверно их обрабатывала и заражалась без каких-либо действий со стороны пользователя — файл даже не нужно открывать, достаточно получить сообщение с ним, чтобы у Pegasus появился скрытый контроль над устройством.
В апдейтах также была закрыта уязвимость в движке WebKit, позволявшая запускать произвольный код с использованием фишинговых или взломанных сайтов. Apple рекомендует как можно скорее установить обновления.
Напомним, что программа Pegasus предназначена для отслеживания спецслужбами террористов и преступников, но как выяснило издание Washington Post, она применялась для взлома телефонов политиков, военных, журналистов, правозащитников и бизнесменов по всему миру.
