Apple випустила оновлення iOS 14.8, watchOS 7.6.2 і macOS Big Sur 11.6 з усуненням критичну уразливість, яка дозволяла заражати пристрої шпигунською програмою Pegasus. Вона крала дані і приховано активувала камеру з мікрофоном для стеження.
Експлоїт використовувався однією з найвідоміших в світі хакерських фірм NSO Group. Фахівці Citizen Lab з’ясували і повідомили Apple, що він був пов’язаний з помилкою в системі CoreGraphics. Зловмисники могли відправляти файли, які виглядали як GIF-зображення, але насправді були PSD і PDF з шкідливим кодом.
Система невірно їх обробляла і заражалися без будь-яких дій з боку користувача – файл навіть не потрібно відкривати, достатньо отримати повідомлення з ним, щоб у Pegasus з’явився прихований контроль над пристроєм.
У апдейтах також була закрита уразливість в движку WebKit, яка давала можливість запускати довільний код з використанням фішингових або зламаних сайтів. Apple рекомендує якомога швидше встановити оновлення.
