Apple je u ponedjeljak izdao izvanredne sigurnosne nadogradnje kako bi ispravio sigurnosnu ranjivost u iOS-u i iPadOS-u za koju je rekao da je iskorištena u stvarnom okruženju.
Ranjivost, označena CVE identifikatorom CVE-2025-24200, opisuje se kao problem autorizacije koji bi mogao omogućiti malicioznom napadaču da onemogući USB Restricted Mode na zaključanom uređaju kao dio cyber fizičkog napada.
Ovo sugeriše da napadači moraju imati fizički pristup uređaju kako bi iskoristili ovu ranjivost. USB Restricted Mode, koji je uveden u iOS 11.4.1, sprečava Apple iOS i iPadOS uređaje da komuniciraju s povezanim uređajem ako nije otključan i ako nije bio povezan s uređajem u posljednjih sat vremena.
Ova funkcija je viđena kao pokušaj da se spriječi korištenje alata za digitalnu forenziku poput Cellebrite ili GrayKey, koji se uglavnom koriste od strane agencija za sprovođenje zakona, da neovlašteno pristupe oduzetim uređajima i izvuku osjetljive podatke.
Kao i u slučajevima sličnim ovome, trenutno nisu dostupni drugi detalji o sigurnosnoj ranjivosti. Proizvođač iPhone-a rekao je da je ranjivost ispravljena poboljšanim upravljanjem stanjima.
Međutim, Apple je priznao da je “svjestan izvještaja da je ovaj problem možda iskorišten u izuzetno sofisticiranom napadu na specifično ciljanje pojedinaca.”
Istraživač sigurnosti Bill Marczak sa The Citizen Lab-a sa Univerziteta u Torontu Munk Schoolu zaslužan je za otkrivanje i prijavljivanje ove ranjivosti.
Nadogradnja je dostupna za sljedeće uređaje i operativne sisteme:
- iOS 18.3.1 i iPadOS 18.3.1 – iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12.9-inčni 3. generacija i noviji, iPad Pro 11-inčni 1. generacija i noviji, iPad Air 3. generacija i noviji, iPad 7. generacija i noviji, i iPad mini 5. generacija i noviji
- iPadOS 17.7.5 – iPad Pro 12.9-inčni 2. generacija, iPad Pro 10.5-inčni, i iPad 6. generacija
Ovaj razvoj dolazi nekoliko sedmica nakon što je Cupertino riješio drugu sigurnosnu ranjivost, bug u Core Media komponenti (CVE-2025-24085), za koju je otkriveno da je iskorištavana na verzijama iOS-a prije iOS 17.2.
Zero-days u Apple softveru su uglavnom korišteni od strane komercijalnih proizvođača nadzorne opreme za implementaciju sofisticiranih programa koji mogu izvući podatke sa uređaja žrtava.
Dok se ovi alati, poput Pegasusa grupe NSO, reklamiraju kao “tehnologija koja spašava živote” i kao način da se bori protiv ozbiljnog kriminala za zaobilaženje problema “Going Dark”, oni su takođe iskorištene za špijuniranje članova civilnog društva.
Sama NSO grupa je ponovila da Pegasus nije alat za masovni nadzor i da je licenciran “legitimnim, provjerenim obavještajnim i agencijama za sprovođenje zakona.”
U svom izvještaju o transparentnosti za 2024. godinu, izraelska kompanija je izjavila da posluje sa 54 kupca u 31 zemlji, od kojih je 23 obavještajnih agencija, a još 23 su agencije za sprovođenje zakona.
Izvor:The Hacker News
