Apple heeft bekendgemaakt dat een nu afgestemde beveiligingsfout aanwezig in zijn berichten-app actief werd geëxploiteerd in het wild om leden van het maatschappelijk middenveld te richten op geavanceerde cyberaanvallen.
De kwetsbaarheid, gevolgd als CVE-2025-43200, werd aangepakt op 10 februari 2025, als onderdeel van iOS 18.3.1, iPados 18.3.1, iPados 17.7.5, MacOS Sequoia 15.3.1, MacOS Sonoma 14.7.4, MacOS Ventura 13.7.4, Workos 11.3.1, en visionos 2.3.1.
“Er bestond een logische kwestie bij het verwerken van een kwaadwillig vervaardigde foto of video die wordt gedeeld via een iCloud -link,” zei het bedrijf in een advies, het toevoegen van de kwetsbaarheid werd aangepakt met verbeterde controles.
De iPhone -maker erkende ook dat het zich bewust is van de kwetsbaarheid “mogelijk is geëxploiteerd in een extreem geavanceerde aanval op specifiek gerichte individuen.”
Het is vermeldenswaard dat de updates van de iOS 18.3.1, iPados 18.3.1 en iPados 17.7.5 ook een andere actief zijn opgelost, nul-dag gevolgd als CVE-2025-24200. Het is momenteel niet bekend waarom Apple ervoor koos om het bestaan van deze fout tot nu toe niet bekend te maken.
Hoewel Apple geen verdere details heeft gedeeld over de aard van de aanvallen die CVE-2025-43200 bewapent, zei het Citizen Lab dat het forensisch bewijs had opgebouwd dat de tekortkoming werd gebruikt om de Italiaanse journalist Ciro Pellegrino en een niet nader genoemde prominente Europese journalist te infecteren en hen te infecteren met Paragon’s grafietwedstrijd.
Het interdisciplinaire onderzoekscentrum beschreef de aanval als nulklik, wat betekent dat de kwetsbaarheid op gerichte apparaten kan worden geactiveerd zonder dat u gebruikersinteractie nodig heeft.
“Een van de apparaten van de journalist was in gevaar met Paragon’s Graphite Spyware in januari en begin februari 2025 tijdens het gebruik van iOS 18.2.1,” zeiden onderzoekers Bill Marczak en John Scott-Railton. “Wij geloven dat deze infectie niet zichtbaar zou zijn geweest voor het doelwit.”
Beide individuen werden op 29 april 2025 op de hoogte gebracht door Apple dat ze het doelwit waren van geavanceerde spyware. Apple begon met het verzenden van dreigingsmeldingen om gebruikers te waarschuwen dat het vermoedt dat de door de staat gesponsorde aanvallers vanaf november 2021 het doelwit zijn van door de staat gesponsorde aanvallers.
Graphite is een toezichtstool ontwikkeld door de Paragon van de Israëlische aanvallende acteur (PSOA) van de Israëlische particuliere sector. Het heeft toegang tot berichten, e -mails, camera’s, microfoons en locatiegegevens zonder enige gebruikersactie, waardoor detectie en preventie bijzonder moeilijk zijn. De spyware wordt meestal ingezet door overheidsklanten onder het mom van onderzoek naar nationale veiligheid.
Het Citizen Lab zei dat de twee journalisten iMessages van hetzelfde Apple -account (met de codenaam “Attacker1”) zijn gestuurd om de Graphite -tool te implementeren, wat aangeeft dat het account mogelijk door een enkele Paragon -klant is gebruikt om zich te richten.
De ontwikkeling is de nieuwste wending in een schandaal dat in januari uitbrak, toen WhatsApp van Meta-eigendom onthulde dat de spyware wereldwijd tegen tientallen gebruikers was ingezet, waaronder Pellegrino’s collega Francesco Cancellato. In totaal zijn in totaal zeven personen publiekelijk geïdentificeerd als slachtoffers van Paragon -targeting en infectie tot nu toe.
Eerder deze week zei de Israëlische spywaremaker dat het zijn contracten met Italië heeft beëindigd, onder verwijzing naar de weigering van de regering om het bedrijf onafhankelijk te laten verifiëren dat de Italiaanse autoriteiten niet in de telefoon van de onderzoeksjournalist zijn gebroken.
“Het bedrijf bood zowel de Italiaanse overheid als het parlement een manier om te bepalen of haar systeem was gebruikt tegen de journalist in strijd met de Italiaanse wetgeving en de contractuele voorwaarden,” zei het in een verklaring aan Haaretz.
De Italiaanse regering zei echter dat de beslissing wederzijds was en dat het het aanbod vanwege de bezorgdheid over de nationale veiligheid verwierp.
Het parlementaire comité voor de veiligheid van de Republiek (Copasir) bevestigde in een rapport dat vorige week werd gepubliceerd, dat de Italiaanse buitenlandse en binnenlandse inlichtingendiensten grafiet gebruikten om de telefoons van een beperkt aantal mensen te richten na noodzakelijke juridische goedkeuring.
Copasir voegde eraan toe dat de spyware werd gebruikt om te zoeken naar voortvluchtigen, illegale immigratie, vermeende terrorisme, georganiseerde misdaad, brandstofsmokkel en tegenspionage en interne veiligheidsactiviteiten. De telefoon die bij Cancellato hoorde, was echter niet tot de slachtoffers, zei het, terwijl hij een belangrijke vraag had over wie de journalist misschien onbeantwoord heeft gericht.
Het rapport werpt echter licht op hoe de spyware -infrastructuur van Paragon op de achtergrond werkt. Het zei dat een operator zich moet aanmelden met een gebruikersnaam en wachtwoord om grafiet te gebruiken. Elke implementatie van de spyware genereert gedetailleerde logboeken die zich bevinden op een server die de klant beheert en niet toegankelijk per Paragon.
“Het gebrek aan verantwoordingsplicht voor deze spywaredoelen benadrukt de mate waarin journalisten in Europa nog steeds worden onderworpen aan deze zeer invasieve digitale dreiging, en onderstreept de gevaren van spyware -proliferatie en misbruik,” zei het Citizen Lab.
De Europese Unie (EU) heeft eerder zijn bezorgdheid geuit over het ongecontroleerde gebruik van commerciële spyware, waarbij wordt opgeroepen tot sterkere exportcontroles en wettelijke waarborgen. Recente gevallen zoals deze kunnen de druk voor hervormingen van de regelgeving op zowel nationaal als EU -niveaus intensiveren.
Het meldingssysteem van Apple is gebaseerd op interne dreigingsinformatie en detecteert mogelijk niet alle gevallen van targeting. Het bedrijf merkt op dat het ontvangen van een dergelijke waarschuwing geen actieve infectie bevestigt, maar geeft aan dat ongebruikelijke activiteit consistent met een gerichte aanval is waargenomen.
De terugkeer van roofdier
De laatste onthullingen komen als de opgenomen Future’s Insikt Group zei dat het een “heropleving” van roofdier-gerelateerde activiteit waarnam, maanden nadat de Amerikaanse regering verschillende personen bestrafte die verbonden was met de Israëlische spyware-leverancier Intellexa/Cytrox.
Dit omvat de identificatie van nieuwe slachtoffer-gerichte Tier 1-servers, een voorheen onbekende klant in Mozambique, en verbindingen tussen roofdierinfrastructuur en Foxitech SRO, een Tsjechische entiteit die eerder was geassocieerd met het Intellexa-consortium.
In de afgelopen twee jaar zijn roofdieroperators gemarkeerd in meer dan een dozijn provincies, zoals Angola, Armenië, Botswana, de Democratische Republiek Congo, Egypte, Indonesië, Kazachstan, Mongolië, Mozambique, Oman, de Filippijnen, Saudi -Arabië en ToBago.
“Dit sluit aan bij de bredere observatie dat roofdier zeer actief is in Afrika, met meer dan de helft van de geïdentificeerde klanten op het continent,” zei het bedrijf.
“Dit weerspiegelt waarschijnlijk de groeiende vraag naar spyware -tools, vooral in landen die worden geconfronteerd met exportbeperkingen, voortdurende technische innovatie als reactie op openbare rapportage en beveiligingsverbeteringen, en steeds complexere bedrijfsstructuren die zijn ontworpen om sancties en toeschrijving te belemmeren.”
