Se han encontrado vulnerabilidades de día cero en iOS y macOS que permiten a los atacantes instalar malware sin que intervenga el usuario.
Se conocen como CVE-2023-41064 y CVE-2023-41061. Se conocen como CVE-2023-41064 y CVE-2023-41061. Los expertos del Citizen Lab de la Universidad de Toronto (Canadá) que los descubrieron les dieron el nombre común de BLASTPASS.
Los atacantes pueden comprometer un dispositivo simplemente descargando una imagen maliciosa o un archivo adjunto. Esto suele ocurrir a través de Safari, iMessage y WhatsApp. Los hackers lo utilizan para instalar spyware, como Pegasus de NSO Group.
Pero la música no ha tardado en sonar: Apple ya ha lanzado actualizaciones de seguridad para todos sus sistemas operativos, incluidos iPadOS y watchOS. Y recomienda a los usuarios que no tarden en descargarlas, ya que BLASTPASS se está utilizando activamente.
Para reducir aún más el riesgo, puedes activar el modo Lockdown en tus dispositivos: bloquea determinados tipos de archivos adjuntos y desactiva la previsualización de enlaces. Los expertos señalan que esto previene eficazmente este tipo de ataques.
