PANews 9月8日消息,Citizen Lab在X平台上表示:“敦促大家盡快更新其蘋果設備,我們發現了一個被積極利用的零點擊漏洞和零日漏洞,該漏洞被用來傳播以色列網絡武器公司NSO Group的間諜軟件Pegasus(飛馬)。”
根據其發布的報告,該漏洞鏈稱為BLASTPASS,能夠在沒有受害者任何交互的情況下,入侵運行最新版本iOS(16.6)的iPhone。該漏洞涉及含有惡意圖像的PassKit附件,這些圖像從攻擊者的iMessage帳戶發送給受害者。 Citizen Lab已向Apple披露了其發現,並協助他們進行了調查。 Apple針對此漏洞鏈發布了兩個CVE(CVE-2023-41064和CVE-2023-41061)。請立即更新Apple設備,並敦促那些由於自己的身份或工作而面臨更大風險的人啟用Lockdown模式,Apple的安全工程和架構團隊已確認,Lockdown模式可以阻止這種特定攻擊。
據悉,飛馬間諜軟件是一款特洛伊木馬軟件,通過飛馬能夠監控受害設備所有活動,還能控制麥克風和攝像頭的開關。飛馬可以在受害者不知情的情況下,解密其加密通信(例如Whatsapp、臉書、Line、微信等應用的通信),且不需要藉助運營商,蘋果或其他公司的協助。