Onderzoekers van Citizen Lab en Google laten weten dat drie zerodaykwetsbaarheden van iOS-versies 16.7 en 17.0.1 (die donderdag zijn gepatcht) actief werden misbruikt om Predator-spyware te installeren, te weten CVE-2023-41991, CVE-2023-41992 en CVE-2023-41993. De spyware werd in ieder geval gebruikt om het voormalige Egyptische parlementslid Ahmed Eltantawy te bespioneren.
Volgens Citizen Lab kreeg Eltantawy sms-berichten die zogenaamd van WhatsApp afkomstig waren. Er wordt vermoed dat hij op een link uit zo'n sms heeft geklikt, waarna de spyware werd geïnstalleerd. Daarnaast werd er ook gebruikgemaakt van een man-in-the-middle-aanval. Indien Eltantawy een website bezocht die geen gebruikmaakt van https, werd hij automatisch omgeleid naar een malafide website via network injection. Die website installeerde vervolgens ook de Predator-spyware, zonder dat er verdere interactie van de gebruiker was vereist. Omdat deze aanval plaatsvond vanuit Egypte, verwachten de onderzoekers dat de Egyptische regering achter de networkinjectionaanval zit.
De zerodaykwetsbaarheden waren overigens ook onderdeel van iPadOS 16.7, iPadOS 17.0.1, macOS Monterey 12.7 en macOS Ventura 13.6. Ondanks dat deze aanval specifiek gericht lijkt te zijn op Egypte, raadt Citizen Lab iedereen aan om de patches zo snel mogelijk binnen te halen. Volgens Apple zijn gebruikers die de Isolatiemodus van de iPhone hebben geactiveerd, niet kwetsbaar voor de exploit.
Bron: Citizen Lab
