Οι αμερικανικές ομοσπονδιακές αρχές προειδοποιούν ότι ο Δεκέμβριος εξελίσσεται σε έναν ιδιαίτερα επικίνδυνο μήνα για την ασφάλεια κινητών συσκευών. Η Υπηρεσία Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) καλεί τους χρήστες iPhone, αλλά και άλλων συσκευών της Apple, να προχωρήσουν άμεσα σε ενημέρωση λογισμικού, καθώς βρίσκονται σε εξέλιξη πραγματικές επιθέσεις. Παρόμοια προειδοποίηση έχει ήδη εκδοθεί και για χρήστες Android, συμπεριλαμβανομένων συσκευών Samsung και Pixel.
CISA: Κρίσιμη ευπάθεια στο WebKit πλήττει Safari και άλλες εφαρμογές
Σύμφωνα με τη CISA, η ευπάθεια CVE-2025-43529 αφορά ένα σφάλμα «use-after-free» στο WebKit, τη μηχανή που χρησιμοποιεί το Safari αλλά και όλα τα προγράμματα περιήγησης και εφαρμογές που βασίζονται σε αυτήν. Η επεξεργασία κακόβουλα διαμορφωμένου διαδικτυακού περιεχομένου μπορεί να οδηγήσει σε αλλοίωση μνήμης, ανοίγοντας τον δρόμο για επιθέσεις χωρίς καμία αλληλεπίδραση από τον χρήστη.
Επιβεβαιωμένες επιθέσεις και δεύτερη κρίσιμη ευπάθεια
Η Apple επιβεβαίωσε ότι μια δεύτερη ευπάθεια, η CVE-2025-14174, αξιοποιείται ήδη από επιτιθέμενους. Το συγκεκριμένο κενό ασφαλείας είχε προηγουμένως αποτελέσει αντικείμενο προειδοποίησης της CISA για χρήστες Google Chrome και άλλων Chromium browsers.
Η υπηρεσία εξηγεί ότι «το Google Chromium περιέχει μια ευπάθεια πρόσβασης εκτός ορίων μνήμης στο ANGLE, η οποία μπορεί να επιτρέψει σε απομακρυσμένο επιτιθέμενο να εκτελέσει επίθεση μέσω ειδικά διαμορφωμένης HTML σελίδας». Το μοτίβο είναι σαφές και επαναλαμβανόμενο.
Android στο στόχαστρο – Προνόμια και διαρροή πληροφοριών
Η κατάσταση είναι εξίσου ανησυχητική για το Android, με δύο ακόμη προειδοποιήσεις της CISA για τις ευπάθειες CVE-2025-48572 και CVE-2025-48633, οι οποίες αφορούν κλιμάκωση προνομίων και αποκάλυψη πληροφοριών στο framework του λειτουργικού συστήματος.
Εμπορικό spyware πίσω από τις επιθέσεις
Οι επιθέσεις αποδίδονται σε εμπορικό spyware, που αρχικά χρησιμοποιείται σε στοχευμένες επιθέσεις κατά συγκεκριμένων χρηστών. Πολλοί από αυτούς έχουν ήδη ειδοποιηθεί απευθείας από την Apple και την Google. Όπως προειδοποιεί ο James Maude της BeyondTrust, «θα εξελιχθεί γρήγορα σε απαραίτητο exploit για ένα ευρύ φάσμα παραγόντων απειλής».
Υποχρεωτικές προθεσμίες ενημέρωσης για ομοσπονδιακούς φορείς
Η Binding Operational Directive (BOD) της CISA καθιστά υποχρεωτική την ενημέρωση ή τη διακοπή χρήσης των ευάλωτων συσκευών από το ομοσπονδιακό προσωπικό. Οι προθεσμίες είναι αυστηρές:
- Για Android έως τις 23 Δεκεμβρίου
- Για Chrome έως τις 2 Ιανουαρίου
- Για iPhone και άλλες συσκευές Apple έως τις 5 Ιανουαρίου
Ισχυρή σύσταση προς όλους τους χρήστες
Αν και η οδηγία αφορά επίσημα μόνο κρατικούς οργανισμούς, η CISA «παροτρύνει έντονα όλους τους οργανισμούς και τους χρήστες να μειώσουν την έκθεσή τους σε κυβερνοεπιθέσεις, δίνοντας προτεραιότητα στην άμεση αποκατάσταση των γνωστών και ενεργά εκμεταλλεύσιμων ευπαθειών».