Apple spreekt in de beveiligingsupdate van iOS 14.7.1 over een probleem waardoor het geheugen corrupt kan raken. Er zijn aanwijzingen dat dit in werkelijkheid een fix is voor een exploit die de afgelopen weken behoorlijk in het nieuws kwam. Volgens Amnesty International is het ontvangen van een bepaald iMessage-bericht genoeg om besmet te raken en ervoor te zorgen dat er toegang was tot persoonlijke data. Uit analyse blijkt dat dit gebeurde met een memory overflow, wat overeenkomst met Apple’s omschrijving van het probleem. Ook zegt Apple dat de kwetsbaarheid mogelijk actief is gebruikt, iets wat bij het NSO-lek zeker het geval is.
Volgens The Register is er een duidelijke link tussen deze fix voor een zero-day kwetsbaarheid en de Pegasus-spyware. Bug CVE-2021-30807 is gevonden in de IOMobileFrameBuffer-code, a kernelextensie waarmee kwaadaardige code mogelijk was. Bug CVE-2021-30807 werd gemeld door een anonieme onderzoeker. Apple wil niet zeggen wie de bug exploiteerde en of het iets te maken heeft met de Pegasus-spyware van de NSO Group. Deze organisatie heeft eerder gereageerd door te zeggen dat gewone mensen niets te vrezen hebben.
Pegasus is spyware, dat wordt onderhouden en gelicenseerd door het bedrijf NSO Group. Het wordt beschikbaar gesteld aan overheden, die het gebruiken om informatie van iPhones en Android-toestellen te achterhalen en de eigenaar te volgen. Amnesty International en andere organisaties beschuldigden NSO ervan dat ze niet openhartig zijn over wie de Pegasys-spyware gebruikt en hoe vaak het wordt ingezet. NSO zou digitale wapens uitdelen zonder te controleren wie ze gebruikt en zonder een achtergrondcheck uit te voeren. Het zou om honderden, maar ook tienduizenden slachtoffers kunnen gaan. De aanval werd uitgevoerd via iMessage op de iPhone 11- en 12-serie.
Vlak nadat Apple op de ontdekking reageerde werd de code op Twitter geplaatst. Beveiligingsonderzoeker Saar Amar zou het lek vier maanden eerder al hebben ontdekt, maar had het niet gerapporteerd omdat hij zijn ontdekking zo goed mogelijk wilde rapporteren. Nu alles toch al bekend is heeft hij een blogposting gemaakt over zijn bevindingen. Andere beveiligingsonderzoekers hebben Apple opgeroepen om dit soort kwetsbaarheden een hogere prioriteit te geven. Zo riep cryptografie-expert Matthew Green Apple op om de code van iMessage grotendeels te herschrijven, op een manier die beter beschermd is tegen geheugenbugs. Beveiligingsonderzoeker Will Strafach vindt dat Apple het gemakkelijker moet maken voor onderzoekers om te achterhalen hoe dergelijke aanvallen plaatsvinden, zodat onderliggende kwetsbaarheden sneller kunnen worden gevonden.