[Uppdatering] iOS Allvarliga säkerhetsproblem med nollanvändarinteraktion upptäckt att de utnyttjas aktivt i naturen i Apple Mail App
Apple iOS, operativsystemet som körs på iPhones, är sårbart för flera nya säkerhetsproblem. Det är oroande att notera att bristerna inte behöver någon användarinteraktion. Säkerhetsproblemen kan enligt uppgift exekveras helt utan att användaren någonsin behöver utföra några åtgärder, klicka på någon länk, ladda ner någon app etc. Förresten, detta är inte första gången sådana allvarliga brister i iOS upptäcks.
Två nya allvarliga säkerhetsproblem i Apple iOS-operativsystem avslöjades idag. Tydligen tillåter dessa brister i iOS potentiellt att angripare får tillgång till en iOS-iPhone-enhet utan någon användaråtgärd. Ännu viktigare är att den fjärrkörda attacken också kan tillåta fjärrkörning (RCE), vilket kan inkludera administrativ kontroll av offrets iPhone. Även om de ännu inte officiellt bekräftats utnyttjas de nyligen upptäckta säkerhetsproblemen i naturen. Tydligen är Apple medvetet om säkerhetsfel och förväntas släppa en uppdatering för att korrigera densamma.
Apple iOS 6 ovanför iPhone-enhet utsatt för nyupptäckta och aktivt utnyttjade säkerhetsproblem:
De nyligen upptäckta säkerhetsproblemen i Apple iOS-operativsystem gör det möjligt för en angripare att fjärrträffa offrets enhet. Dessutom tillåter bristerna att angripare får tillgång till en iOS-enhet utan någon användaråtgärd. Majoriteten av attackerna kräver viss användaråtgärd som att klicka på en länk, installera någon applikation eller öppna ett dokument för att attacken ska börja. Men i det här fallet kan angriparen bara skicka e-postmeddelanden som förbrukar en betydande mängd minne och får fjärrkörningsfunktioner i enheten.
De allvarliga säkerhetsproblemen i iOS utan användarinteraktion upptäcktes av säkerhetsföretaget ZecOps. Forskarna vid företaget hävdar att angripare redan använder dessa sårbarheter i naturen. Utan att identifiera målen hävdade forskarna att de nyupptäckta säkerhetsfel har framgångsrikt använts för att rikta in sig på följande individer:
- Individer från en Fortune 500-organisation i Nordamerika
- En chef från en transportör i Japan
- En VIP från Tyskland
- MSSP från Saudiarabien och Israel
- En journalist i Europa
- Misstänkt: En chef från ett schweiziskt företag
iOS är ett helt slutet källkodsoperativsystem som designats och utvecklats av Apple. Det är strikt kontrollerat och reglerat. Operativsystemet är inte lika öppet som Google Android. Den senaste iterationen av iOS är iOS 13. Men alla enheter som kör iOS 6 och senare påverkas av dessa säkerhetsfel. Säkerhetsforskare som undersöker sårbarheterna har belyst hur angripare kan äventyra en Apple iOS som kör iPhone. I de senaste iOS-versionerna kan attacken utföras på följande sätt:
- Attack på iOS 13: attacker utan hjälp (/ nollklick) på iOS 13 när Mail-applikationen öppnas i bakgrunden
- Attack på iOS 12: Attacken kräver ett klick på e-postmeddelandet. Attacken kommer att utlösas innan innehållet återges. Användaren kommer inte att märka något avvikande i själva e-postmeddelandet
- Icke-assisterade attacker på iOS 12 kan utlösas (aka noll-klick) om angriparen kontrollerar e-postservern
Apple för att korrigera säkerhetsproblem i kommande uppdatering:
Forskare hävdar att Apple är medveten om dessa säkerhetsfel i iOS. De tillade att Apple förväntas släppa en stegvis uppdatering till iOS som kommer att innehålla en korrigering som kommer att korrigera sårbarheterna. Innan Apple släpper en uppdatering finns det dock ett sätt att undvika att bli riktad eller bli offer för säkerhetsfel.
Forskare råder helt att undvika Apple Mail App. Det är e-postplattformen som är designad, utvecklad och underhållen av Apple. För övrigt stöder e-postappen e-postkonton från tredje part som Gmail, Outlook, etc. Därför, tills Apple släpper en uppdatering för att åtgärda buggarna, kan användare vara beroende av Microsoft Outlook-appen eller andra liknande e-postklienter.
[Uppdatering]Apple har enligt uppgift släppt en uppdatering för att korrigera de två säkerhetsproblemen i Apple Mail App.