Slowmist 稱,Pegasus 組織正在使用 iMessage 帳戶向受害者發送包含惡意圖像的 PassKit 附件。這種方法被用來利用 Apple 設備中的漏洞,尤其是加密專業人員使用的設備。以色列 NSO 集團曾積極利用這兩個零日漏洞在 iPhone 上安裝 Pegasus 間諜軟件,但 Apple 已解決這兩個漏洞。
互聯網監督組織公民實驗室在檢查華盛頓特區一家國際總部的民間社會組織工作人員的設備時發現了這個零點擊漏洞。
根據公民實驗室週四晚些時候發佈的聲明,在沒有受害者參與的情況下,漏洞鏈能夠危害運行最新版本 iOS(16.6)的 iPhone。
他們將這個漏洞鏈稱爲“BLASTPASS”。作爲漏洞的一部分,包含惡意照片的 PassKit 附件從攻擊者的 iMessage 帳戶發送給受害者。
公民實驗室迅速將我們的發現告知了蘋果公司,並協助他們進行調查。
立即採取的措施
將您的Apple設備更新至最新版本以修補該漏洞。
對通過 iMessage 收到的任何意外或不熟悉的消息保持謹慎。
啓用雙重身份驗證以提供額外的安全保障。
