Apple iOS, sistemul de operare care rulează pe iPhone, este vulnerabil la multiple vulnerabilități noi de securitate. Este îngrijorător să observăm că defectele nu necesită interacțiune cu utilizatorul. Vulnerabilitățile de securitate pot fi executate în totalitate, fără ca utilizatorul să fie nevoit să efectueze nicio acțiune, să facă clic pe orice link, să descarce orice aplicație etc. nu este prima dată când sunt descoperite astfel de defecte grave în iOS .
Două noi vulnerabilități serioase de securitate din cadrul sistemului de operare Apple iOS au fost dezvăluite astăzi. Aparent, aceste defecte din iOS permit potențial atacatorilor să aibă acces la un dispozitiv iPhone care rulează iOS fără nicio acțiune a utilizatorului. Mai important, atacul executat de la distanță poate permite, de asemenea, Executarea codului la distanță (RCE), care ar putea include controlul administrativ al iPhone-ului victimei. Deși încă nu au fost confirmate oficial, vulnerabilitățile de securitate recent descoperite sunt exploatate în sălbăticie. Aparent, Apple este conștient de defectele de securitate și se așteaptă să lanseze o actualizare pentru a corela același lucru.
Dispozitivul Apple iOS 6 deasupra iPhone este vulnerabil la vulnerabilitățile de securitate descoperite și exploatate activ:
Noile vulnerabilități de securitate descoperite în sistemul de operare Apple iOS permit unui atacator să lovească de la distanță dispozitivul victimei. Mai mult, defectele permit atacatorilor să aibă acces la un dispozitiv iOS fără nicio acțiune a utilizatorului. Majoritatea atacurilor necesită anumite acțiuni ale utilizatorului, cum ar fi clic pe un link, instalarea unei aplicații sau deschiderea unui document pentru ca atacul să înceapă. Cu toate acestea, în acest caz, atacatorul poate trimite doar e-mailuri care consumă o cantitate semnificativă de memorie și pot obține capabilități de executare a codului la distanță în dispozitiv.
Vulnerabilități și atacuri Day-Zero;
Incidente de securitate https://t.co/KAez4d9890
- Dr. Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) 22 aprilie 2020
Seriosul vulnerabilități de securitate în interiorul iOS cu interacțiune zero cu utilizatorul au fost descoperite de firma de securitate ZecOps. Cercetătorii companiei susțin că atacatorii folosesc deja aceste vulnerabilități în natură. Fără a identifica țintele, cercetătorii au afirmat că defectele de securitate recent descoperite au fost folosite cu succes pentru a viza următoarele persoane:
- Persoane dintr-o organizație Fortune 500 din America de Nord
- Un executiv dintr-un transportator din Japonia
- Un VIP din Germania
- MSSP din Arabia Saudită și Israel
- Un jurnalist în Europa
- Suspectat: un executiv dintr-o întreprindere elvețiană
iOS este un sistem de operare cu sursă complet închisă proiectat și dezvoltat de Apple. Este strict controlat și reglementat. Sistemul de operare nu este la fel de deschis ca Google Android. Cea mai recentă iterație a iOS este iOS 13. Cu toate acestea, toate dispozitivele care rulează iOS 6 și mai sus sunt afectate de aceste defecte de securitate. Cercetătorii de securitate care investighează vulnerabilitățile au evidențiat modalitățile în care atacatorii pot compromite un Apple iOS care rulează un iPhone. În versiunile recente de iOS, atacul poate fi efectuat prin următoarele moduri:
- Atac pe iOS 13: atacuri neasistate (/ cu clic zero) pe iOS 13 atunci când aplicația Mail este deschisă în fundal
- Atac pe iOS 12: atacul necesită un clic pe e-mail. Atacul va fi declanșat înainte de redarea conținutului. Utilizatorul nu va observa nimic anormal în e-mail
- Atacurile neasistate pe iOS 12 pot fi declanșate (alias clic zero) dacă atacatorul controlează serverul de e-mail
Cercetătorii descoperă o pereche de vulnerabilități de securitate în aplicația iOS Mail, Apple lucrează la un patch https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- i Phone Doctor (@Mr_iPhoneDoctor) 22 aprilie 2020
Apple va remedia vulnerabilitățile de securitate în actualizarea viitoare:
Cercetătorii susțin că Apple este conștientă de aceste defecte de securitate în iOS. Aceștia au adăugat că se așteaptă ca Apple să lanseze o actualizare incrementală a iOS, care va include o soluție care va remedia vulnerabilitățile. Cu toate acestea, până când Apple nu lansează o actualizare, există o modalitate de a evita să fii vizat sau să devii victima bug-urilor de securitate.
Două vulnerabilități de zi zero care afectează dispozitivele iPhone și iPad au fost găsite de start-ul de securitate cibernetică ZecOps după descoperirea unei serii de atacuri la distanță în curs care au vizat iO ... prin @BleepinComputer #Securitate #tech # Miercuri Înțelepciune https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22 aprilie 2020
Cercetătorii recomandă evitarea completă a aplicației Apple Mail. Este platforma de e-mail care este proiectată, dezvoltată și întreținută de Apple. De altfel, aplicația de poștă electronică acceptă conturi de e-mail terțe, cum ar fi Gmail, Outlook etc. Prin urmare, până când Apple lansează o actualizare pentru a remedia erorile, utilizatorii pot depinde de aplicația Microsoft Outlook sau de alți clienți de e-mail similari.
[Actualizați] Se pare că Apple a lansat o actualizare pentru a remedia cele două vulnerabilități de securitate din cadrul aplicației Apple Mail.
Etichete mărApple remediază două vulnerabilități de securitate care afectează aplicația de e-mail în iOS 13.4.5 Beta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 22 aprilie 2020
