Apple lanzó actualizaciones de emergencia para iOS 14.8, iPadOS 14.8, macOS 11.6 y watchOS 7.6.2 que corrigen una vulnerabilidad de Pegasus en iPhone, iPad, Mac y Apple Watch. La falla fue revelada por Citizen Lab (una unidad de investigación cibernética de la Universidad de Toronto) el lunes. La falla permitió a un pirata informático, que usaba el malware Pegasus de NSO, obtener acceso a un dispositivo perteneciente a un activista saudí.
Esto se hizo mediante el uso de una falla de seguridad en la aplicación Mensajes de Apple. Apple dijo que esta falla podría explotarse a través de un archivo PDF «creado con fines malintencionados». La falla era una vulnerabilidad de día cero, es decir, era desconocida para Apple o simplemente no habían desarrollado un parche para ella en ese momento.
Además, el exploit era un exploit sin hacer clic. Esto significa que las víctimas no tienen que hacer clic en el archivo malicioso para que infecte sus dispositivos. Más bien, se ejecuta por sí solo mediante un agujero de seguridad.
“Después de identificar la vulnerabilidad utilizada por este exploit para iMessage, Apple desarrolló e implementó rápidamente una solución en iOS 14.8 para proteger a nuestros usuarios”, dijo Ivan Krstić, jefe de ingeniería y arquitectura de seguridad de Apple, en un comunicado. «Nos gustaría felicitar a Citizen Lab por completar con éxito el muy difícil trabajo de obtener una muestra de este exploit para poder desarrollar esta solución rápidamente».
Apple también describió la vulnerabilidad y su solución en un documento de soporte publicado el 13 de septiembre.
Origen: Gizmochina
