Apple heeft maandag vrijwel buitenbandbeveiligingsupdates uitgebracht om een beveiligingsfout in iOS en iPados aan te pakken waarvan het zei dat het in het wild is uitgebuit.
De CVE -identificatie toegewezen CVE-2025-24200de kwetsbaarheid is beschreven als een autorisatieprobleem dat het voor een kwaadwillende acteur mogelijk zou kunnen maken om de USB -beperkte modus op een vergrendeld apparaat uit te schakelen als onderdeel van een fysieke aanval van cyber.
Dit suggereert dat de aanvallers fysieke toegang tot het apparaat nodig hebben om de fout te benutten. Geïntroduceerd in iOS 11.4.1, USB beperkte modus voorkomt dat een Apple iOS en iPados -apparaat communiceren met een aangesloten accessoire als het niet is ontgrendeld en aangesloten op een accessoire binnen het afgelopen uur.
De functie wordt gezien als een poging om digitale forensische tools zoals Cellebrite of Graykey te voorkomen, die voornamelijk worden gebruikt door wetshandhavingsinstanties, om ongeoorloofde toegang tot een geconfisqueerd apparaat te krijgen en gevoelige gegevens te extraheren.
In lijn met dit soort adviezen zijn momenteel geen andere details over de beveiligingsfout beschikbaar. De iPhone -maker zei dat de kwetsbaarheid werd aangepakt met verbeterd staatsmanagement.
Apple erkende echter dat het “bewust is van een rapport dat deze kwestie mogelijk is benut in een extreem geavanceerde aanval op specifieke gerichte personen.”
Beveiligingsonderzoeker Bill Marczak van het Citizen Lab aan de Munk School van de Universiteit van Toronto is gecrediteerd voor het ontdekken en rapporteren van de fout.
De update is beschikbaar voor de volgende apparaten en besturingssystemen –
- iOS 18.3.1 en iPados 18.3.1 -iPhone XS en later, iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en later, iPad Pro 11-inch 1e generatie en later, iPad Air 3e generatie en later, iPad 7e generatie en later, en ipad mini 5e generatie en later
- iPados 17.7.5 -iPad Pro 12,9-inch 2e generatie, iPad Pro 10.5-inch en iPad 6e generatie
De ontwikkeling komt weken nadat Cupertino nog een beveiligingsfout heeft opgelost, een gebruiksvrije bug in de kernmediacomponent (CVE-2025-24085), dat het onthulde dat het werd geëxploiteerd tegen versies van iOS vóór iOS 17.2.
Zero-dagen in Apple-software zijn voornamelijk bewapend door commerciële surveillanceware-leveranciers om geavanceerde programma’s te implementeren die gegevens van slachtofferapparaten kunnen extraheren.
Hoewel deze tools, zoals Pegasus van NSO Group, op de markt worden gebracht als “technologie die levens redt” en om ernstige criminele activiteiten te bestrijden als een manier om het zogenaamde “Going Dark” -probleem te omzeilen, zijn ze ook misbruikt om leden te bespioneren van het maatschappelijk middenveld.
NSO Group, van zijn kant, heeft herhaald dat Pegasus geen massale surveillance -instrument is en dat het een licentie heeft voor “legitieme, doorgelichte inlichtingen- en wetshandhavingsinstanties”.
In zijn transparantierapport voor 2024 zei het Israëlische bedrijf dat het 54 klanten bedient in 31 landen, waarvan 23 inlichtingendiensten zijn en nog eens 23 wetshandhavingsinstanties zijn.
