Apple ha rivelato che un difetto di sicurezza ormai abbinato nella sua app di messaggi è stato attivamente sfruttato in natura per colpire i membri della società civile in sofisticati attacchi informatici.
La vulnerabilità, monitorata come CVE-2025-43200, è stata affrontata il 10 febbraio 2025, come parte di iOS 18.3.1, ipados 18.3.1, iPados 17.7.5, MacOS Sequoia 15.3.1, MacOS Sonoma 14.7.4, macos ventura 13.7.4, Watchos 11.3.1E Visionos 2.3.1.
“Esisteva un problema logico durante l’elaborazione di una foto o un video realizzato maliziosamente condiviso tramite un hyperlink iCloud”, ha affermato la società in un avviso, aggiungendo che la vulnerabilità è stata affrontata con controlli migliorati.
Il produttore di iPhone ha anche riconosciuto che è consapevole che la vulnerabilità “potrebbe essere stata sfruttata in un attacco estremamente sofisticato contro individui specificamente mirati”.
Vale la pena notare che iOS 18.3.1, iPados 18.3.1 e iPados 17.7.5 aggiornamenti anche risolto Un altro ha sfruttato attivamente Zero-Day Tracciato come CVE-2025-24200. Al momento non si sa perché Apple abbia scelto di non rivelare l’esistenza di questo difetto fino advert ora.
Mentre Apple non ha condiviso ulteriori dettagli sulla natura degli attacchi armando CVE-2025-43200, il cittadino lab ha affermato di aver portato alla luce la prova forense che il difetto è stato sfruttato per colpire il giornalista italiano Ciro Pellegrino e un giornalista europeo senza nome e infettarli e infettarli La grafite di Paragon Spyware and adware mercenario.
Il centro di ricerca interdisciplinare ha descritto l’attacco come clic zero, il che significa che la vulnerabilità potrebbe essere attivata su dispositivi goal senza richiedere alcuna interazione dell’utente.
“Uno dei dispositivi del giornalista è stato compromesso dallo adware di grafite di Paragon a gennaio e all’inizio di febbraio 2025 mentre gestiva iOS 18.2.1”, i ricercatori Invoice Marczak e John Scott-Railton disse. “Crediamo che questa infezione non sarebbe stata visibile al bersaglio”.
Entrambi gli individui furono avvisati il 29 aprile 2025 da Apple che erano mirato con adware avanzato. Apple ha iniziato Invio di notifiche di minaccia Per avvisare gli utenti che sospettano siano stati presi di mira da aggressori sponsorizzati dallo stato a partire da novembre 2021.
La grafite è uno strumento di sorveglianza sviluppato dall’attore offensivo del settore privato israeliano (PSOA) Paragon. Può accedere a messaggi, e -mail, telecamere, microfoni e dati sulla posizione senza alcuna azione dell’utente, rendendo particolarmente difficili il rilevamento e la prevenzione. Lo adware è in genere implementato da clienti governativi in base alle spoglie delle indagini sulla sicurezza nazionale.
Il Citizen Lab ha affermato che ai due giornalisti è stato inviato iMessages dallo stesso account Apple (in codice “Attapper1”) per distribuire lo strumento grafite, indicando che l’account potrebbe essere stato utilizzato da un singolo cliente Paragon per indirizzarli.
Lo sviluppo è l’ultima svolta in uno scandalo che è scoppiato a gennaio, quando WhatsApp di proprietà meta- divulgato che lo adware period stato distribuito contro dozzine di utenti a livello globale, tra cui il collega di Pellegrino Francesco Cancellato. Complessivamente, un totale di sette persone sono state identificate pubblicamente come vittime del focusing on e delle infezioni di Paragon fino advert oggi.
All’inizio di questa settimana, il produttore di adware israeliano ha dichiarato di averlo fatto terminato I suoi contratti con l’Italia, citando il rifiuto del governo di consentire alla società di verificare in modo indipendente che le autorità italiane non si siano spezzate al telefono del giornalista investigativo.
“La società ha offerto al governo italiano e al parlamento un modo per determinare se il suo sistema fosse stato utilizzato contro il giornalista in violazione della legge italiana e i termini contrattuali”, iT ” disse In una dichiarazione a Haaretz.
Tuttavia, il governo italiano disse La decisione è stata reciproca e che ha respinto l’offerta a causa di problemi di sicurezza nazionale.
Il Comitato parlamentare per la sicurezza della Repubblica (Copasir), in un rapporto pubblicato la scorsa settimana, confermato Che i servizi di intelligence estera e domestica italiani abbiano utilizzato la grafite per colpire i telefoni di un numero limitato di persone dopo l’approvazione legale necessaria.
Copasir ha aggiunto che lo adware è stato utilizzato per cercare fuggitivi, contrastare l’immigrazione clandestina, il presunto terrorismo, il crimine organizzato, il contrabbando di carburante e il controspionaggio e le attività di sicurezza interna. Tuttavia, il telefono appartenente a Cancellato non period tra le vittime, ha detto, lasciando una domanda chiave su chi potrebbe aver preso di mira il giornalista senza risposta.
Il rapporto, tuttavia, fa luce su come funziona l’infrastruttura adware di Paragon in background. Ha detto che un operatore deve accedere con un nome utente e una password per utilizzare la grafite. Ogni distribuzione dello adware genera registri dettagliati che si trovano su un server controllato dal cliente e non accessibili da Paragon.
“La mancanza di responsabilità disponibile per questi obiettivi di adware evidenzia la misura in cui i giornalisti in Europa continuano a essere sottoposti a questa minaccia digitale altamente invasiva e sottolinea i pericoli della proliferazione e degli abusi degli adware”, ha affermato il Citizen Lab.
L’Unione Europea (UE) ha precedentemente Preoccupazioni sollevate In base all’uso incontrollato di adware commerciale, chiedendo controlli di esportazione più forti e salvaguardie legali. Casi recenti come questo potrebbero intensificare la pressione per le riforme normative sia a livello nazionale che nell’UE.
Il sistema di notifica delle minacce di Apple si basa sull’intelligence delle minacce interne e potrebbe non rilevare tutti i casi di focusing on. La società rileva che ricevere story avvertimento non conferma un’infezione attiva, ma indica che è stata osservata un’attività insolita coerente con un attacco mirato.
Il ritorno di Predator
Le ultime rivelazioni arrivano quando il gruppo insikt del futuro registrato ha dichiarato di aver osservato una “rinascita” di attività legata al predatore, mesi dopo il governo degli Stati Uniti sanzionato diversi individui Legato al fornitore di adware israeliano Intellexa/Cytrox.
Ciò embody l’identificazione di nuovi server di livello 1 rivolti alle vittime, un cliente precedentemente sconosciuto in Mozambico e connessioni tra l’infrastruttura Predator e Foxitech SRO, un’entità ceca precedentemente associata al consorzio Intellexa.
Negli ultimi due anni, gli operatori predatori sono stati segnalati in oltre una dozzina di contee, come Angola, Armenia, Botswana, Repubblica democratica del Congo, Egitto, Indonesia, Kazakistan, Mongola, Mozambico, Oman, Filippine, Arabia Saudi e Trinidad e Tobago.
“Ciò si allinea con l’osservazione più ampia secondo cui Predator è altamente attivo in Africa, con oltre la metà dei suoi clienti identificati situati nel continente”, la società disse.
“Ciò probabilmente riflette la crescente domanda di strumenti di adware, in particolare nei paesi che affrontano le restrizioni di esportazione, l’innovazione tecnica in corso in risposta ai rapporti pubblici e ai miglioramenti della sicurezza e alle strutture aziendali sempre più complesse progettate per impedire sanzioni e attribuzione.”
