В iOS и macOS нашли уязвимости нулевого дня, которые позволяют злоумышленникам устанавливать вредоносное ПО без какого-либо участия пользователя.
Они известны как CVE-2023-41064 и CVE-2023-41061. Обнаружившие их специалисты из лаборатории Citizen Lab при Университете Торонто (Канада) BLASTPASS NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild им общее название BLASTPASS.
Злоумышленники могут скомпрометировать устройство, просто загрузив вредоносное изображение или вложение. Обычно это происходит через Safari, iMessage и WhatsApp. Хакеры используют эту возможность для установки шпионских программ, в том числе Pegasus от NSO Group.
Но недолго музыка играла: Apple уже выпустила обновление безопасности для всех своих операционных систем, включая iPadOS и watchOS. И рекомендует пользователям не затягивать с их загрузкой, так как BLASTPASS активно используются.
Для дополнительного снижения риска можно включить на своих устройствах режим Lockdown – он блокирует определенные типы вложений и отключает предварительный просмотр ссылок. Эксперты отмечают, что это эффективно предотвращает подобные атаки.