Apple lanzó una actualización de seguridad crítica de iOS 16 para iPhone y iPad, que corrige un error particularmente malicioso que podría permitir que un pirata informático se apodere de su dispositivo sin ninguna acción de su parte. El exploit «cero clic, día cero» permite a los atacantes instalar el software espía Pegasus de NSO Group, que les permite leer los mensajes de texto de un objetivo, escuchar llamadas, robar y transmitir imágenes, rastrear su ubicación y más.
El exploit (llamado «Blastpass») fue descubierto por primera vez por Citizen Lab, que inmediatamente lo informó a Apple. Según se informa, se utilizó para instalar Pegasus en el iPhone de un empleado de Washington DC. Es capaz de comprometer dispositivos que ejecutan la última versión de iOS 16.6 “sin ninguna interacción por parte de la víctima”, escribe el grupo.
Apple lanzó iOS 16.6.1 para combatir esta vulnerabilidad y simplemente afirmó que «un archivo adjunto creado con fines malintencionados podría provocar la ejecución de código arbitrario». Además, Citizen Lab incluso aconsejó a «todos los usuarios en riesgo que consideren activar el modo de bloqueo, ya que creemos que bloquea el ataque». Se cree que el ataque utilizó PassKit (un SDK que permite a los desarrolladores incluir Apple Pay en sus aplicaciones), de ahí el nombre Blastpass, así como imágenes maliciosas enviadas por iMessage. Por razones obvias, Citizen Lab no reveló ningún otro detalle.
El modo de bloqueo es una característica reciente de iOS diseñada para limitar severamente la funcionalidad de los dispositivos Apple y está dirigida a «un número muy pequeño de usuarios que enfrentan amenazas graves y específicas a su seguridad digital», dijo Apple. La compañía se ha enfrentado recientemente a una serie de amenazas, incluida una vulnerabilidad de febrero de 2023 que «podría explotarse activamente», dijo Apple en ese momento.
El exploit también vuelve a poner a Pegasus en las noticias después de haber sido prohibido por la administración Biden a principios de este año. Desarrollado por la empresa israelí de armas cibernéticas NSO Group, causó sensación después de ser utilizado por muchos países para espiar a periodistas, activistas y otras personas. En un caso infame, Arabia Saudita supuestamente lo utilizó para espiar al periodista Jamal Kashoggi, quien luego fue asesinado en Turquía.
