Apple ha lanzado una actualización de seguridad esencial para iOS 16 y iPadOS 16 con el objetivo de corregir una vulnerabilidad que permitiría a los hackers tomar control de iPhone y iPad sin ninguna interacción por parte del usuario. Esta vulnerabilidad, conocida como «zero-click, zero-day», permite a los atacantes instalar el spyware «Pegasus» del NSO Group, otorgándoles acceso a mensajes de texto, llamadas, imágenes y la ubicación del dispositivo afectado.
El exploit, denominado «Blastpass», fue descubierto por primera vez por Citizen Lab, que lo comunicó de inmediato a Apple. Se informó que esta vulnerabilidad se utilizó para instalar Pegasus en el iPhone de un empleado de una organización con sede en Washington DC. El exploit puede comprometer dispositivos que ejecutan la versión 16.6 de iOS sin ninguna interacción del usuario.
Para abordar esta vulnerabilidad, Apple ha lanzado iOS 16.6.1, indicando que «un archivo adjunto maliciosamente diseñado podría resultar en la ejecución de código arbitrario». Citizen Lab también ha aconsejado a «todos los usuarios en riesgo considerar la activación del Modo de Bloqueo, ya que creen que bloquea el ataque». Se piensa que el ataque involucra a PassKit, un SDK que permite a los desarrolladores integrar Apple Pay en sus aplicaciones, y se envía mediante imágenes maliciosas a través de iMessage.
El modo de bloqueo es una característica reciente de iOS diseñada para restringir severamente las funciones de los dispositivos Apple. Está dirigido a un «número muy pequeño de usuarios que enfrentan graves amenazas dirigidas a su seguridad digital», según ha declarado Apple.
El spyware Pegasus ha sido noticia recientemente, especialmente después de que la administración de Biden lo prohibiera este año. Desarrollado por la empresa israelí, NSO Group, causó conmoción después de que se utilizara para espiar a periodistas, activistas y otros. En un caso notorio, se informó que Arabia Saudita usó Pegasus para espiar al periodista Jamal Kashoggi, quien fue posteriormente asesinado en Turquía.
