Παρόλο που η Apple είναι μία από τις εταιρείες που πάντα τονίζει την σημασία που δίνει στην ασφάλεια των χρηστών, δύο νέες ευπάθειες zero-day που ανακαλύφθηκαν στην ενσωματωμένη εφαρμογή ηλεκτρονικού ταχυδρομείου θέτει σε κίνδυνο περισσότερες από 2 δισεκατομμύρια συσκευές iPhone και iPad.
Οι ευπάθειες που ανακάλυψαν οι ερευνητές ασφαλείας της ZecOps, εκμεταλλεύονται από hacker τα δύο τελευταία χρόνια τουλάχιστον, ώστε να κατασκοπεύουν τις συσκευές χρηστών υψηλού επιπέδου.
Το πρώτο είναι ένα out-of-bounds write bug, ενώ το δεύτερο ελάττωμα είναι ένα ζήτημα heap overflow σύμφωνα με την έκθεση των ερευνητών.
Για να μπορέσουν να εκμεταλλευτούν τις ευπάθειες, οι εισβολείς πρέπει να στείλουν ένα ειδικά διαμορφωμένο email, το οποίο καταναλώνει συγκεκριμένη ποσότητα μνήμης, αναγκάζοντας την εφαρμογή να σταματήσει να λειτουργεί. Με τον τρόπο αυτό οι εισβολείς μπορούν στη συνέχεια να χακάρουν τις συσκευές iOS και να πάρουν τον έλεγχό τους απομακρυσμένα.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Η δεύτερη ευπάθεια είναι μάλιστα zero-click, που σημαίνει ότι δεν χρειάζεται να κάνει κάτι ο χρήστης προκειμένου ο επιτιθέμενος να μπορέσει να την εκμεταλλευτεί. Ένα άλλο ανησυχητικό σημείο, είναι επίσης ότι οι χρήστες δεν έχουν καμία ένδειξη ότι οι συσκευές τους έχει πέσει θύματα επίθεσης.
Σύμφωνα με τους ερευνητές και οι δύο ευπάθειες που ανακάλυψαν, εντοπίζονται σε διάφορες συσκευές της Apple τα τελευταία 8 χρόνια και όπως φαίνεται επηρεάζουν και την τελευταία έκδοση του iOS 13.4.1 . Τα ελαττώματα έχουν εκμεταλλευτεί σε μεγάλο βαθμό από κακόβουλους παράγοντες που στοχεύουν VIP χρήστες όπως:
- Υπαλλήλους εταιρειών Fortune 500 στη Βόρεια Αμερική
- Ένα δημοσιογράφο στην Ευρώπη
- Έναν VIP από τη Γερμανία
- MSSP από τη Σαουδική Αραβία και το Ισραήλ
- Ένα στέλεχος που εργάζεται στην εταιρεία μεταφορών της Ιαπωνίας
- Ένα στέλεχος που εργάζεται σε ελβετική εταιρεία
Η εταιρεία ενημερώθηκε για την ύπαρξη των ευπαθειών και ετοιμάζει ήδη μία beta έκδοση που περιέχει μία επιδιόρθωση για τις συσκευές που επηρεάζονται, την οποία αναμένεται να παρουσιάσει για τους χρήστες της σταθερής έκδοσης στην επόμενη ενημέρωση iOS 13.4.5.