Slowmist 称,Pegasus 组织正在使用 iMessage 帐户向受害者发送包含恶意图像的 PassKit 附件。这种方法被用来利用 Apple 设备中的漏洞,尤其是加密专业人员使用的设备。以色列 NSO 集团曾积极利用这两个零日漏洞在 iPhone 上安装 Pegasus 间谍软件,但 Apple 已解决这两个漏洞。
互联网监督组织公民实验室在检查华盛顿特区一家国际总部的民间社会组织工作人员的设备时发现了这个零点击漏洞。
根据公民实验室周四晚些时候发布的声明,在没有受害者参与的情况下,漏洞链能够危害运行最新版本 iOS(16.6)的 iPhone。
他们将这个漏洞链称为“BLASTPASS”。作为漏洞的一部分,包含恶意照片的 PassKit 附件从攻击者的 iMessage 帐户发送给受害者。
公民实验室迅速将我们的发现告知了苹果公司,并协助他们进行调查。
立即采取的措施
将您的Apple设备更新至最新版本以修补该漏洞。
对通过 iMessage 收到的任何意外或不熟悉的消息保持谨慎。
启用双重身份验证以提供额外的安全保障。
