据发现漏洞的研究人员称,苹果公司周四发布的安全更新修补了两个零日漏洞--即在苹果公司发现这些漏洞时还未知的黑客技术,其被用于攻击华盛顿特区的一个民间组织成员。
公民实验室(Citizen Lab)是一个调查政府恶意软件的互联网监督组织,该组织发表了一篇简短的博客文章,解释说上周他们发现了一个零点击漏洞--即黑客的目标无需点击或点击任何东西,如附件--就可以用恶意软件攻击受害者。研究人员说,该漏洞被用作漏洞利用链的一部分,旨在传播 NSO Group 的恶意软件,即 PegASUS。
Citizen Lab 写道:"该漏洞利用链能够入侵运行最新版 iOS(16.6)的 iPhone,而无需受害者进行任何交互。"
发现漏洞后,研究人员向苹果公司报告了这一漏洞,苹果公司于本周四发布了补丁,并感谢 Citizen Lab 报告了这一漏洞。
根据 Citizen Lab 在博文中所写的内容,以及苹果公司也修补了另一个漏洞并将其发现归功于公司本身的事实,苹果公司似乎可能是在调查第一个漏洞时发现了第二个漏洞。
苹果发言人斯科特-拉德克利夫(Scott Radcliffe)在接受采访时没有发表评论,而是让 TechCrunch 参阅了安全更新中的说明。
Citizen Lab 称,它将该漏洞链称为 BLASTPASS,因为它涉及 PassKit,这是一个允许开发者在其应用程序中包含 Apple Pay 的框架。
互联网监督机构公民实验室(Citizen Lab)的高级研究员约翰-斯科特-雷尔顿(John Scott-Railton)在 Twitter 上写道:"公民社会再一次充当了全球数十亿台设备的网络安全预警系统。"
公民实验室建议所有 iPhone 用户更新他们的手机。NSO 没有立即回应置评请求。