Apple zal in iOS 15 nieuwe beveiligingsmaatregelen toevoegen om aanvallen via iMessage lastiger te maken. Gisteren lieten onderzoekers van Citizen Lab weten dat er het afgelopen jaar meerdere zero-click-aanvallen in iMessage zijn gebruikt om iPhone-bezitters met de Pegasus-spyware te infecteren. Bij een zero-click-aanval is er geen interactie van het slachtoffer vereist, alleen het versturen van een bericht is voldoende om het toestel over te nemen.

"Het is frustrerend dat er nog steeds deze niet te verwijderen app op iOS is die data en berichten van iedereen accepteert", zegt beveiligingsonderzoeker Patrick Wardle tegenover Wired. "Wanneer iemand een zero-click iMessage-exploit heeft kunnen ze het overal vandaan versturen en je op elk moment raken." De onderzoeker zou graag zien dat Apple de optie biedt om iMessage volledig uit te schakelen.

Citizen Lab waarschuwde gisteren dat het uitschakelen van iMessage de waargenomen aanvallen had kunnen voorkomen. De NSO Group, verantwoordelijk voor de ontwikkeling van de zero-click exploits, heeft echter ook andere chatapps in het verleden gebruikt om spyware te verspreiden, zoals WhatsApp. Het uitschakelen van iMessage en FaceTime had dan ook geen volledige bescherming tegen zero-click-aanvallen geboden, zo merken de onderzoekers op. Daarnaast zou het uitschakelen van iMessage ervoor zorgen dat berichten onversleuteld worden verstuurd, wat het eenvoudig voor aanvallers maakt om ze te onderscheppen.

Apple laat tegenover Wired weten dat het in iOS 15 extra beveiligingsmaatregelen zal toevoegen om iMessage-gebruikers tegen aanvallen te beschermen. Wat deze nieuwe maatregelen precies inhouden is echter nog onbekend. "De beschreven aanvallen zijn zeer complex, kosten miljoenen dollars om te ontwikkelen, zijn vaak kort inzetbaar en worden tegen specifieke individuen ingezet", zegt Ivan Krstic, hoofd security-engineering bij Apple. Volgens Krstic lopen de meeste iPhone-bezitters dan ook geen risico door dit soort aanvallen.