Apple heeft vanavond meerdere actief aangevallen zerodaylekken in iOS en macOS verholpen die volgens antivirusbedrijf Kaspersky de afgelopen jaren zijn gebruikt om iPhones met spyware infecteren. Bij de "zeroclick-aanval" op iPhones werd gebruikgemaakt van een onzichtbare iMessage met een malafide bijlage, die verschillende kwetsbaarheden in iOS gebruikt voor het installeren van spyware.

Voor de aanval is geen enkele interactie van gebruikers vereist, vandaar ook de naam zeroclick. Vervolgens verstuurt de spyware privégegevens naar de aanvallers. Het gaat om opnames via de microfoon, foto's van chatapps, locatiegegevens en data over verschillende andere activiteiten van de eigenaar van de besmette iPhone. Eerder vandaag kwam Kaspersky al met meer informatie over de spyware.

Die wordt geïnstalleerd nadat de aanvallers, door misbruik te maken van een kwetsbaarheid in de kernel, rootrechten op de iPhone hebben gekregen. Verder draait de spyware volledig in het geheugen van de telefoon, wat inhoudt dat die volledig wordt verwijderd na het herstarten van de telefoon. In het geval de telefoon niet wordt herstart zal de spyware zichzelf na dertig dagen verwijderen, tenzij de aanvallers deze periode verlengen.

Kaspersky ontdekte de zerodaylekken nadat het verdacht verkeer op het eigen netwerk waarnam. Telefoons van allerlei managers en directieleden bleken geinfecteerd te zijn, aldus de virusbestrijder, die kwetsbaarheden aan Apple rapporteerde. Dat heeft nu updates uitgebracht. Het gaat om een kwetsbaarheid in de kernel (CVE-2023-32434) waardoor een malafide app willekeurige code met kernelrechten kan uitvoeren, waardoor volledige controle over de telefoon mogelijk is.

Daarnaast is een beveiligingslek aangeduid als CVE-2023-32435 gerepareerd. Deze kwetsbaarheid bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Door het verwerken van malafide content kan een aanvaller willekeurige code uitvoeren. Daarnaast is er ook nog een derde zeroday door Apple verholpen. Dit beveiligingslek, CVE-2023-32439, bevindt zich ook in de WebKit en is volgens Apple ook actief misbruikt. De naam van de onderzoeker die dit probleem rapporteerde is niet openbaar gemaakt.

De beveiligingslekken zijn verholpen in iOS 15.7.7 en iPadOS 15.7.7 en iOS 16.5.1 en iPadOS 16.5.1. Daarnaast zijn er ook updates voor macOS verschenen waarmee de kwetsbaarheden worden verholpen. Zo zijn CVE-2023-32434 en CVE-2023-32439 in macOS Ventura 13.4.1 opgelost. In macOS Big Sur en macOS Monterey is alleen de kwetsbaarheid in de kernel gepatcht. Gebruikers wordt opgeroepen om naar de nieuwste versie van hun OS te updaten.