| 24 апр 2020 — 4:01 утра по тихоокеанскому времени
Компания по безопасности, обнаружившая уязвимости в iPhone Mail, заявила, что они были «широко использованы в реальных атаках». Apple теперь опровергла это заявление, заявив, что не смогла найти «никаких доказательств» использования этих уязвимостей.
Кроме того, компания заявила, что рассматриваемые уязвимости не могут обойти средства защиты iPhone и iPad…
Предыстория уязвимостей iPhone Mail
Apple признала три проблемы, обнаруженные группой безопасности ZecOps, и исправила их в бета-версии iOS 13.4.5, которая скоро будет выпущена для общественности.
Однако ZecOps продолжила утверждать, что реальные атаки проводились с использованием этих уязвимостей еще в январе 2018 года (в iOS 11.2.2). Они даже привели примеры конкретных лиц, которые, по их мнению, были целью эксплуатации.
Основываясь на исследованиях ZecOps и информации об угрозах, мы с высокой уверенностью предполагаем, что эти уязвимости — в частности, удаленный переполнение кучи — «широко используются в реальных целенаправленных атаках» со стороны одного или нескольких передовых операторов угроз.
Предполагаемые цели включали:
- Физические лица из организации из списка Fortune 500 в Северной Америке
- Руководитель одного из операторов связи в Японии
- VIP-персона из Германии
- MSSP из Саудовской Аравии и Израиля
- Журналист из Европы
- Предположительно: руководитель швейцарского предприятия
Опровержение Apple
Bloomberg сообщает, что Apple не только утверждает, что не нашла доказательств, подтверждающих это заявление, но и то, что уязвимости недостаточны для успешного проведения заявленных атак.
Американская компания оспаривает утверждения компании ZecOps Inc., занимающейся кибербезопасностью, о том, что программные сбои могли позволить хакерам более года проникать в iPhone и другие устройства iOS. Apple начала расследование и заявила в своем заявлении, что проблемы с почтой сами по себе недостаточны для того, чтобы злоумышленники могли обойти встроенные средства защиты, добавив, что скоро выпустит исправление.
«Мы тщательно расследовали отчет исследователя и, основываясь на предоставленной информации, пришли к выводу, что эти проблемы не представляют непосредственного риска для наших пользователей», — заявила компания из Купертино, Калифорния. «Исследователь выявил три проблемы в Mail, но сами по себе они недостаточны для обхода защитных мер iPhone и iPad, и мы не нашли никаких доказательств их использования против клиентов».
Опровержение не является полным отрицанием заявления. Возможно, что конкретные уязвимости сами по себе не могут обойти средства защиты, но могут быть объединены с существующими уязвимостями для достижения этой цели. Однако опровержение сформулировано очень жестко, что предполагает, что компания из Купертино действительно считает, что реальных атак не было.