Selon Slowmist, le groupe Pegasus utilise des comptes iMessage pour envoyer aux victimes des pièces jointes PassKit contenant des images malveillantes. Cette méthode est utilisée pour exploiter les vulnérabilités des appareils Apple, en particulier celles utilisées par les professionnels de la cryptographie. Deux vulnérabilités zero-day qui étaient exploitées de manière agressive par le groupe israélien NSO pour installer son logiciel espion Pegasus sur les iPhones ont été corrigées par Apple.
La vulnérabilité du zéro clic a été découverte par le groupe de surveillance Internet Citizen Lab lors de l'inspection de l'appareil d'une personne travaillant pour une organisation de la société civile dont le siège international est situé à Washington, DC.
Sans l’implication de la victime, la chaîne d’exploit a pu compromettre les iPhones exécutant la version la plus récente d’iOS (16.6), selon un communiqué publié jeudi soir par Citizen Lab.
Ils ont appelé la chaîne d’exploit « BLASTPASS ». Des pièces jointes PassKit contenant des photos malveillantes ont été envoyées depuis le compte iMessage d’un attaquant à la victime dans le cadre de la vulnérabilité.
Citizen Lab a rapidement informé Apple de nos conclusions et l'a aidé dans son enquête.
Mesures immédiates à prendre
Mettez à jour votre appareil Apple avec la dernière version pour corriger la vulnérabilité.
Méfiez-vous de tout message inattendu ou inconnu reçu via iMessage.
Activez l'authentification à deux facteurs pour une couche de sécurité supplémentaire.