Apple ha lanzado una actualización de seguridad crítica de iOS 16 para iPhones y iPads para corregir un error particularmente malicioso que podría permitir que un pirata informático se apodere de su dispositivo sin que usted haga nada. El exploit «cero clic, día cero» permite a los atacantes instalar el software espía Pegasus de NSO Group, que podría permitirles leer los mensajes de texto de un objetivo, escuchar llamadas, robar y transmitir imágenes, rastrear su ubicación y más.
El exploit (denominado «Blastpass») fue descubierto por primera vez por Citizen Lab, que inmediatamente se lo reveló a Apple. Según se informa, se utilizó para instalar Pegasus en el iPhone de un empleado de una organización con sede en Washington DC. Es capaz de comprometer dispositivos que ejecutan la última versión 16.6 de iOS «sin ninguna interacción por parte de la víctima», escribió el grupo.
Apple lanzó iOS 16.6.1 para contrarrestar la vulnerabilidad, afirmando simplemente que «un archivo adjunto creado con fines malintencionados puede provocar la ejecución de código arbitrario». Además, Citizen Lab incluso aconsejó a «todos los usuarios en riesgo que consideren habilitar el modo de bloqueo, ya que creemos que bloquea el ataque». Se cree que el ataque involucró a PassKit (un SDK que permite a los desarrolladores colocar Apple Pay en sus aplicaciones), de ahí el nombre Blastpass, junto con imágenes maliciosas enviadas por iMessage. Por razones obvias, Citizen Lab no reveló más detalles.
El modo de bloqueo es una característica reciente de iOS diseñada para restringir severamente las funciones de los dispositivos Apple y está dirigida a un «número muy pequeño de usuarios que enfrentan amenazas graves y específicas a su seguridad digital», afirmó Apple. La compañía se ha enfrentado a una serie de amenazas últimamente, incluida una vulnerabilidad de febrero de 2023 que «puede haber sido explotada activamente», dijo Apple en ese momento.
El exploit también hace que Pegasus vuelva a ser noticia, tras una prohibición impuesta por la administración Biden a principios de este año. Desarrollado por la empresa de armas cibernéticas NSO Group, con sede en Israel, creó furor después de que fue utilizado por varias naciones para espiar a periodistas, activistas y otras personas. En un caso notorio, supuestamente fue utilizado por Arabia Saudita para espiar al periodista Jamal Kashoggi, quien luego fue asesinado en Turquía.