Az Apple azóta foltozta is a sérülékenységet, amit az izraeli kémprogram kihasznált – és egy másikat is. Mivel az ördög nem alszik, mindenkinek érdemes azonnal telepítenie a patch-eket.

Kémprogramot talált a Citizen Lab egy Washingtonban működő civil szervezet egyik munkatársának iPhone-ján. Mint azóta kiderült: a kémprogram az izraeli NSO Magyarországon is bevetett Pegasusa. Minderről csupán egy rövid közlemény jelent meg a Citizen Lab honlapján.

A közlemény arra hívja fel a figyelmet, hogy az múlt héten találtak egy exploitot egy Apple-eszközön, amely felhasználói beavatkozás nélkül (zero click) használ ki egy nulladik napi sérülékenységet. Az Apple kiadta a javítást iPhone-okra, iPadekre, Mac számítógépekre és az Apple Watch-okra is, amit javasolt azonnal telepíteni. A Citizen Lab munkatársai emellett javasolják az ún. Lockdown mód engedélyezését, mert tapasztalataik szerint az blokkolja a támadást. (Ezt az opcionális védelmet 2022-ben élesítette az Apple, és elsősorban olyan felhasználóknak szánta, akik folyamatosan az államilag szponzorált hekkerek célkeresztjében vannak. A Lockdown mód hátulütője, hogy korlátozza az eszköz használhatóságát, mivel kikapcsol minden olyan funkciót, amely potenciális kockázatot jelent a felhasználóra.)

A kutatók szerint a sebezhetőséget egy olyan exploitlánc részeként használták, amelyet az NSO Group Pegasusának a terjesztésére találtak ki. A BLASTPASS névre keresztelt exploitlánc "képes volt az iOS legújabb verzióját (16.6) futtató iPhone-ok kompromittálására anélkül, hogy az áldozat részéről bármilyen interakcióra lett volna szükség" – olvasható a Citizen Lab bejegyzésében. Az elnevezés egyébként onnan jön, hogy az exploitlánc az ellen a PassKit nevű keretrendszer ellen irányult, amely lehetővé teszi a fejlesztőknek, hogy az Apple Payt beépíthessék az alkalmazásaikba.

Az Apple két nulladik napi sérülékenységre adott ki javítást, de a másodikat nem a Citizen Lab, hanem az Apple kutatói fedezték fel a civilek jelentette sérülékenység vizsgálata közben.

Azért a feltételes mód, mert bár több lap is megkereste az Apple-t, a vállalat nem kívánta bővebben kommentálni a hibajavításokat. Az NSO pedig nem reagált a megkeresésekre.

Több mint hét éve tudunk róla

A Pegasusról a 2010-es évek közepén érkeztek az első hírek, és akkor is az Apple eszközein fedezték fel először. Azóta hatalmas karriert futott be. A magyar közéleti személyiségek és újságírók telefonján is felbukkanó kémprogrammal megfigyeltek állami vezetőket, és az is kiderült, hogy egyáltalán nem a diktatúrák kiváltsága volt a használata. Az NSO jogtanácsosa, Chaim Gelfand a konkrét országokat nem nevezte meg, de annyit elárult az Európa Parlament illetékes bizottságának a meghallgatásán, hogy legalább öt EU-s tagállam szervei vették meg a kémeszközt.

A sorozatos botrányok hatására a cég, amely mögül Izrael állam is kihátrált, komoly átszervezésekre kényszerült, vezérigazgatója lemondott, a dolgozók jelentős részét elbocsátották. Ettől azonban még egyáltalán nem tűnt el, legutóbb például az örmény-azeri konfliktusban vethették be az azeriek.

Biztonság

Egyelőre nem tűnik sokkolóan okosnak a Gemini mesterséges intelligencia

Ahogy az lenni szokott, a Google közzétette, a felhasználók pedig azonnal rászálltak az új technológiára, amit sikerült is buta hibákra késztetniük.
 
Ez a kkv-k problémája világszerte. A megoldásszállítók pedig rendszer a széttagoltságra, a sok egyedi igényre, és az ebből eredő magas fejlesztési és támogatási költségekre panaszkodnak.

a melléklet támogatója a Yettel

Minden vállalatnak számolnia kell az életciklusuk végéhez érő technológiák licencelési keresztkockázataival. Rogányi Dániel és Vincze-Berecz Tibor (IPR-Insights) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 1. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.