Apple roept alle gebruikers van de ruim 1,6 miljard Apple-producten direct op een software-update uit te voeren. Beveiligingsonderzoekers ontdekten een kwetsbaarheid in Apple’s eigen berichten-app iMessage.
Met spionage-software van het Israëlische bedrijf NSO Group kon het lek misbruikt worden om iPhones, iPads, Apple Watch-horloges en computers van Apple te infecteren met spyware. Met de nieuwste update die Apple vandaag aanbiedt, wordt het lek gedicht.
Spyware ontdekt
Het lek werd maandag onthuld door Citizen Lab, een cyber-onderzoekseenheid van de Universiteit van Toronto. Zij ontdekten dat de iPhone van een Saoedische-activist was geïnfecteerd met Pegasus, spyware die NSO Group ontwikkelde. Die spyware werd eerder al ingezet om journalisten en mensenrechtenactivisten te bespioneren.
In het geval van de Soedische activist werd het lek gebruik om diezelfde software te installeren. Dat lek kon worden misbruikt als gebruikers van de berichten-app een PDF-bestand ontvingen, wat Apple omschrijft als een ‘kwaadaardig bewerkt’ bestand.
Zero-day
Het lek was een zogeheten ‘zero-day’-kwetsbaarheid, een term die verwijst naar pas ontdekte bugs die hackers kunnen misbruiken en nog niet zijn gedicht. Slachtoffers hoefden niet op het schadelijke bestand te klikken om hun apparaten te infecteren, iets wat bekend staat als een ‘zero-click’-aanval.
Volgens Citizen Lab benadrukt de kwestie dat chat-apps het kwetsbaarst zijn als het gaat om de beveiliging van apparaten. “Ze zijn alomtegenwoordig, wat ze erg aantrekkelijk maakt, dus zijn ze een steeds vaker voorkomend doelwit voor hackers”, aldus John Scott-Railton, senior onderzoeker bij Citizen Lab. De apps moeten volgens hem een belangrijke prioriteit zijn bij de beveiliging. “Het verkleinen van het aanvalsoppervlak van chat-apps zal helpen bij het veiliger maken van al onze apparaten.”
NSO zei in een verklaring dat het bedrijf “inlichtingen- en ordehandhavingsdiensten over de hele wereld zal blijven voorzien van levensreddende technologieën om terreur en misdaad te bestrijden.”
Nieuwe Apple-producten
De update die het lek dicht wordt aangeboden op de dag dat Apple nieuwe producten aankondigt. Verwacht wordt dat Apple een nieuwe iPhone, nieuwe Apple Watch en een nieuwe Airpods onthult.
Daar zal Apple waarschijnlijk ook de aanzet geven tot de release van besturingssysteem iOS 15 die extra beveiliging zal bevatten.
