Δευτέρα, 22 Φεβρουαρίου, 02:09
Αρχική security Η Apple αμφισβητεί την ZecOps σχετικά με την εκμετάλλευση των iOS ευπαθειών

Η Apple αμφισβητεί την ZecOps σχετικά με την εκμετάλλευση των iOS ευπαθειών

Apple

Η Apple εξέδωσε μια ανακοίνωση, στην οποία αναφέρει ότι “διερεύνησε διεξοδικά” την πρόσφατη αναφορά της ZecOps σχετικά με τους hackers που εκμεταλλεύονταν τρεις iOS zero-day ευπάθειες, αλλά “δεν βρήκαν στοιχεία που να αποδεικνύουν ότι οι ευπάθειες χρησιμοποιήθηκαν εναντίον πελατών”.

Προχθές, δημοσιεύτηκε μια έκθεση από την εταιρεία ασφαλείας ZecOps, η οποία έλεγε με λεπτομέρειες ότι τρεις iOS ευπάθειες επηρέαζαν το Apple Mail client.

Η ZecOps δήλωσε ότι οι ευπάθειες είχαν χρησιμοποιηθεί από hackers για την πραγματοποίηση επιθέσεων σε VIP στόχους:

  • Υπαλλήλους εταιρειών Fortune 500 στη Βόρεια Αμερική
  • Ένα στέλεχος εταιρείας μεταφορών στην Ιαπωνία
  • Έναν VIP από τη Γερμανία
  • MSSP από τη Σαουδική Αραβία και το Ισραήλ
  • Έναν δημοσιογράφο στην Ευρώπη
  • Και πιθανότατα, έναν διευθυντή μιας ελβετικής επιχείρησης

Ωστόσο, σε μια αναφορά που δημοσίευσε η Apple, λέει ότι εξέτασε τις λεπτομέρειες που κοινοποίησε η ZecOps στην έκθεσή της και δεν κατέληξε στο ίδιο συμπέρασμα, ότι δηλαδή οι ευπάθειες έχουν χρησιμοποιηθεί από hackers.

Η πλήρης δήλωση της Apple είναι η παρακάτω:

“Η Apple λαμβάνει σοβαρά υπόψη όλες τις εκθέσεις που αναφέρουν απειλές για την ασφάλεια. Έχουμε διερευνήσει διεξοδικά την έκθεση των ερευνητών και, με βάση τις παρεχόμενες πληροφορίες, καταλήξαμε στο συμπέρασμα ότι αυτά τα ζητήματα δεν αποτελούν άμεσο κίνδυνο για τους χρήστες μας. Οι ερευνητές εντόπισαν τρία ζητήματα στο Mail, αλλά μόνο αυτά δεν επαρκούν για να παρακάμψουν τις προστασίες ασφαλείας των iPhone και iPad και δεν βρήκαμε στοιχεία που να αποδεικνύουν ότι χρησιμοποιήθηκαν εναντίον πελατών μας. Αυτά τα πιθανά ζητήματα θα αντιμετωπιστούν σύντομα με μια ενημέρωση λογισμικού. Εκτιμούμε τη συνεργασία μας με ερευνητές ασφαλείας για να διατηρήσουμε τους χρήστες μας ασφαλείς και ευχαριστούμε τους ερευνητές για τη βοήθειά τους”.

Η έρευνα της ZecOps προκάλεσε αντιδράσεις όχι μόνο στην Apple αλλά και στο Twitter. Αρκετοί ερευνητές ασφαλείας του iOS αμφισβήτησαν το συμπέρασμα ότι τα σφάλματα είχαν χρησιμοποιηθεί σε επιθέσεις.

Οι ερευνητές της ZecOps θεώρησαν ότι οι ευπάθειες χρησιμοποιούνταν από hackers λόγω των crash logs που βρέθηκαν στη συσκευή.

Αυτά τα crash logs ερμηνεύθηκαν ως απόπειρες εκμετάλλευσης των ευπαθειών.

Η ZecOps είπε ότι η αποτυχημένη εκμετάλλευση άφησε ένα κενό email και ένα crash log στη συσκευή. Σύμφωνα με την εταιρεία, η επιτυχημένη εκμετάλλευση οδηγεί σε διαγραφή των κενών email για την απόκρυψη των επιθέσεων.

iOS

Οι ερευνητές ασφαλείας επεσήμαναν ότι εάν ο εισβολέας μπορεί να διαγράψει τα emails, πιθανότατα μπορεί να διαγράψει και τα crash logs.

Η αντίθετη άποψη λέει ότι οι ερευνητές είδαν απλώς προβληματικά emails που  πυροδοτούν ένα σφάλμα (όχι κακόβουλο), και όχι κακόβουλες επιθέσεις εναντίον χρηστών iOS. Η Apple χρειάζεται περισσότερα στοιχεία για να ταξινομήσει αυτά τα crash bugs ως επιθέσεις.

ZecOps

Απαντώντας σε μια έκθεση του Reuters σήμερα, η ZecOps υποσχέθηκε να δημοσιεύσει περισσότερες πληροφορίες σχετικά με τα σφάλματα, όταν η Apple κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα.

Τα σφάλματα έχουν διορθωθεί στο iOS 13.4.5 beta και η επιδιόρθωση αναμένεται να φτάσει στο iOS stable κανάλι μέσα στις επόμενες εβδομάδες.

Η πλήρης δήλωση της ZecOps είναι η εξής:

“Σύμφωνα με τα δεδομένα της ZecOps, υπήρχαν επιθέσεις λόγω αυτών των ευπαθειών σε μερικούς οργανισμούς. Θέλουμε να ευχαριστήσουμε την Apple που εργάζεται για μια ενημέρωση κώδικα και ανυπομονούμε να ενημερώσουμε τις συσκευές μας μόλις είναι διαθέσιμη. Η ZecOps θα κυκλοφορήσει περισσότερες πληροφορίες και POCs όταν είναι διαθέσιμη η ενημέρωση”.

Η ύπαρξη των σφαλμάτων δεν αμφισβητήθηκε ποτέ, ούτε από την Apple ούτε από την κοινότητα ασφαλείας. Επιπλέον, προτείνεται η εγκατάσταση της έκδοσης iOS 13.4.5, όταν κυκλοφορήσει.

Στη δήλωσή της, η Apple ήθελε να καταστήσει σαφές ότι λαμβάνει υπόψη τις αναφορές των ερευνητών, αλλά είπε ότι το συμπέρασμα αυτής της συγκεκριμένης έκθεσης δεν ήταν δυνατό να επαληθευτεί, τουλάχιστον προς το παρόν.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...