| 22 апреля 2020 г. — 9:15 PT
В iOS 13 обнаружена новая потенциально серьезная уязвимость программного обеспечения, которая работает через стандартное приложение Mail на iPhone и iPad. Группа по безопасности ZecOps (через Motherboard) сообщает, что одна из двух уязвимостей является эксплойтом нулевого клика (не требует взаимодействия с пользователем) и может быть выполнена удаленно.
ZecOps подробно описала свои выводы в записи в блоге, и самая серьезная из двух уязвимостей затрагивает даже последнюю публичную версию iOS 13 (а также iOS 12). Однако Apple исправила эти уязвимости в самой последней бета-версии iOS 13.4.5, которая вскоре должна быть выпущена для общественности.
Эксплойт нулевого клика работает через стандартное приложение Mail для iOS и потенциально опасен, поскольку пользователю не нужно нажимать или кликать на что-либо, чтобы его устройство было скомпрометировано:
Уязвимость позволяет удаленно выполнять код и дает возможность злоумышленнику удаленно заразить устройство, отправляя электронные письма, которые потребляют значительное количество памяти.
ZecOps заявляет, что обнаружила свидетельства использования этих атак в реальных условиях и считает, что они «широко эксплуатируются».
Область действия атаки включает отправку специально сформированного электронного письма на почтовый ящик жертвы, что позволяет использовать уязвимость в контексте приложения iOS MobileMail на iOS 12 или maild на iOS 13. На основе исследований ZecOps и разведывательной информации о киберугрозах, мы с высокой уверенностью предполагаем, что эти уязвимости, в частности, удаленный переполнение кучи, широко эксплуатируются в реальных условиях в целевых атаках продвинутым(и) оператором(ами) угроз.
В отчете подробно указано, что злонамеренные электронные письма, предположительно, удаляются хакерами после использования для получения доступа к устройствам жертв.
Примечательно, что, хотя данные подтверждают, что электронные письма с эксплойтами были получены и обработаны устройствами iOS жертв, соответствующие электронные письма, которые должны были быть получены и сохранены на почтовом сервере, отсутствовали. Поэтому мы делаем вывод, что эти электронные письма были намеренно удалены в рамках мер по обеспечению операционной безопасности атаки.
Одним из недостатков уязвимости является то, что она требует относительно большого электронного письма, которое в некоторых случаях может быть заблокировано. Основатель ZecOps, Зук Авраам, отметил, что эксплойт не применяется к приложениям Gmail или Outlook для iOS, но неясно, уязвимы ли Gmail, открытые через приложение Apple Mail.
С другой стороны, это не такой отполированный взлом, как другие, поскольку он опирается на отправку слишком большого электронного письма, которое может быть заблокировано некоторыми почтовыми провайдерами. Более того, Авраам сказал, что он работает только со стандартным приложением Apple Mail, а не, например, с Gmail или Outlook. (Google не ответил на запрос о комментарии, спрашивающий, будет ли он блокировать такие письма. Microsoft отказалась от комментариев.)
Как отметил Motherboard, ZecOps не нашла доказательств использования эксплойтов для массовых атак, а скорее для целевых. Но если вы обеспокоены потенциальной проблемой безопасности и конфиденциальности, вы можете использовать другое приложение электронной почты до публичного выпуска iOS 13.4.5.
Для получения всех подробностей об этих эксплойтах прочитайте полную публикацию ZecOps здесь.