| 27 апр 2020 — 4:56 утра по тихоокеанскому времени
На прошлой неделе появились противоречивые заявления относительно уязвимостей iPhone Mail: одна компания по безопасности утверждала, что они были использованы в реальных атаках, а Apple заявила, что не нашла никаких доказательств этого.
Два ведущих специалиста по безопасности высказали свое мнение по этому поводу, согласившись с Apple в одном пункте, но заявив, что жучки по-прежнему могут быть использованы…
Теперь, похоже, все согласны с одним из заявлений Apple: что уязвимости в приложении Mail в iOS, обнаруженные ZecOps, не могут быть использованы сами по себе. Apple заявила:
Исследователь выявил три проблемы в Mail, но сами по себе они недостаточны для обхода защитных механизмов iPhone и iPad.
ZecOps принимает это, и это подтверждается другими исследователями безопасности. Однако, как мы отметили на прошлой неделе, это не значит, что они не могли быть использованы в сочетании с другими уязвимостями для проведения успешной атаки.
Отрицание не является полным опровержением заявления. Возможно, что конкретные уязвимости сами по себе не могут обойти средства защиты, но могут быть объединены с существующими эксплойтами для достижения этой цели.
Wired сообщает, что нашу позицию теперь поддержали два известных исследователя безопасности.
Исследователь безопасности iOS и создатель Guardian Firewall Уилл Штрафач отмечает, что, хотя Apple и ZecOps правы относительно ограниченной пользы ошибок Mail самих по себе, важно серьезно относиться к таким ошибкам.
«Такой zero-click особенно интересен, поскольку это не полная цепочка эксплойтов, но из-за характера его работы он может обеспечить что-то вроде «грабежа» данных почтового ящика. Даже перспектива копирования электронных писем с последующим самоудалением «атакующего» письма довольно пугающая».
Бывший хакер АНБ Патрик Уордл согласен, отмечая, что отсутствие доказательств — это не доказательство отсутствия, и говорит, что не было бы удивительно, если бы Apple не смогла обнаружить эти атаки, даже если они имели место.
«Маловероятно, что если эта уязвимость была использована в тщательно спланированных атаках, Apple найдет доказательства такой атаки», — говорит Уордл. «В любом случае, было бы полезно, если бы Apple объяснила, как она пришла к такому выводу».
Даже самые грубые атаки типа «zero-click» оставляют мало следов, что затрудняет их отслеживание. Аналитики безопасности говорят, что во многих случаях именно те функции, которые делают программное обеспечение более безопасным, часто затрудняют обнаружение атак типа «zero-click»…
«Мы не видим, чтобы эти уязвимости zero-click часто использовались в реальных условиях, и это потому, что их очень трудно обнаружить — не потому, что их нет».
Если уязвимости iPhone Mail были использованы, то, скорее всего, против конкретных, высокопоставленных целей.
Изображение: Litmus