Pár napja az Apple elkezdte terjeszteni az iOS 16.6.1 frissítést, amit sokan csak egy apró előkészületnek tartanak az iOS 17 megjelenése előtt, ami várhatóan szeptember 12-én fog landolni. A helyzet azonban nem ennyire egyszerű, ha megtudjuk, milyen sérülékenységet foltoz be a frissítés.
A Pegasus nevű kémprogram Izraelben, az NSO Group által készült. Ezzel a programmal a támadók képesek elolvasni az áldozat szöveges üzeneteit, meghallgatni hívásait, megfigyelni a helyzetét és még sok másra. A szoftver már nem csak totalitárius hajlamú államok által, hanem demokratikus országokban is használták, például újságírók, aktivisták és politikusok ellen.
Az Apple végre cselekedett, és az iOS 16.6.1 frissítéssel megszüntette ezt a rést. Az iOS 16.6 frissítés egy biztonsági rést tartalmazott, amit a Blastpass nevű kihasználói kód próbált kihasználni. Ez a kihasználói kód az Apple PassKit nevű fejlesztői eszközkészletére fókuszál, amelyet az alkalmazásfejlesztők használnak az Apple Pay fizetési rendszer alkalmazásaikba való integrálására. A kihasználói kód aktiválásához rosszindulatú kódok vagy adatok beépítése szükséges az alkalmazásba, így téve a PassKit-et és ezen keresztül az egész rendszert sebezhetővé.
A Citizen Lab, amely felfedezte a Blastpass-t, sikeresen telepített egy Pegasust egy iPhone-ra, ezt a kihasználói kódot használva. Az iOS 16.6.1 frissítés javítást hoz a rést és a sérülékenységet illetően, ezért erősen ajánlott, hogy minél előbb telepítsétek. A Citizen Lab annyira komolyan veszi a problémát, hogy figyelmezteti azokat az Apple felhasználókat, akik úgy érzik, hogy kompromittálták a rendszerüket, hogy aktiválják a iOS Lockdown Mode-ot, amely korlátozza az Apple eszközök funkcióit.
