🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Vunlerabilidad para iPhone (Zero-Click, Zero-Day) BLASTPASS de NSO Group

La semana pasada, mientras revisaba el dispositivo de un individuo empleado por una organización de la sociedad civil con sede en Washington DC con oficinas internacionales, Citizen Lab encontró una vulnerabilidad de cero clic activamente explotada que se utilizaba para entregar el software espía mercenario Pegasus de NSO Group.

La cadena de explotación BLASTPASS

Nos referimos a la cadena de exploits como BLASTPASS. La cadena de exploits fue capaz de comprometer iPhones que ejecutaban la última versión de iOS (16.6) sin ninguna interacción por parte de la víctima.

El exploit involucró archivos adjuntos PassKit que contenían imágenes maliciosas enviadas desde una cuenta de iMessage del atacante a la víctima.

Esperamos publicar una discusión más detallada sobre la cadena de exploits en el futuro.

Disclosure de Apple & CVEs

Apple emitió dos CVE relacionados con esta cadena de exploits (CVE-2023-41064 y CVE-2023-41061)

Instamos a todos a actualizar inmediatamente sus dispositivos.

Fuente: citizenlab.ca (September 7, 2023). BLASTPASS NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/


Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información