Η γερμανική ομοσπονδιακή υπηρεσία ασφάλειας στον κυβερνοχώρο προέτρεψε σήμερα τους χρήστες iOS να εγκαταστήσουν αμέσως τις ενημερώσεις ασφαλείας iOS και iPadOS που κυκλοφόρησε η Apple στις 20 Μαΐου για να επιδιορθώσουν δύο ευπάθειες ασφαλείας zero-click που έχουν αξιοποιηθεί ενεργά επηρεάζοντας την προεπιλεγμένη εφαρμογή email.
“Λόγω της κρίσιμης σημασίας των τρωτών σημείων, το BSI συνιστά την άμεση εγκατάσταση της αντίστοιχης ενημέρωσης ασφαλείας σε όλα τα επηρεαζόμενα συστήματα”, δήλωσε το BSI.
Η startup ZecOps αποκάλυψε τα σφάλματα αφού ανακάλυψε συνεχιζόμενες επιθέσεις που στοχεύουν χρήστες iOS από τουλάχιστον τον Ιανουάριο του 2018.
Οι δύο ευπάθειες zero-click είναι ένα ζήτημα κατανάλωσης μνήμης που αναφέρεται ως CVE-2020-9819 που μπορεί να οδηγήσει σε “heap corruption” και ένα ζήτημα “out-of-bounds write” που αναφέρεται ως CVE-2020-9818, το οποίο μπορεί να οδηγήσει σε απροσδόκητη τροποποίηση μνήμης ή τερματισμό εφαρμογής – και οι δύο ενεργοποιήθηκαν αφού η εφαρμογή Mail επεξεργάζεται ένα κακόβουλο μήνυμα αλληλογραφίας.
Τα ελαττώματα ασφαλείας του MailDemon αντιμετωπίστηκαν από την Apple με την κυκλοφορία των iOS 13.5 και iPadOS 13.5 που έρχονται με βελτιωμένο χειρισμό μνήμης και έλεγχο ορίων.
“Πιστεύουμε ότι αυτές οι επιθέσεις είναι συσχετισμένες με τουλάχιστον έναν φορέα απειλής έθνους-κράτους ή ένα έθνος-κράτος που αγόρασε την εκμετάλλευση από έναν τρίτο ερευνητή σε βαθμό Proof of Concept (POC) και χρησιμοποιήθηκε” ως έχει “ή με μικρές τροποποιήσεις, “είπε η ZecOps εκείνη τη στιγμή.
Ευτυχώς, οι επιθέσεις που ανέφερε η ZecOps κατευθύνονταν σε στόχους υψηλού προφίλ, πράγμα που σημαίνει ότι οι τακτικοί χρήστες δεν θα στοχεύονται άμεσα έως ότου οι εκμεταλλεύσεις για τα δύο σφάλματα πέσουν στα χέρια απειλητικών φορέων με λιγότερο φιλόδοξους στόχους.
Τα σφάλματα επηρεάζουν συσκευές που χρησιμοποιούν iOS 3.1.3 και νεότερες εκδόσεις
Σύμφωνα με τις σημειώσεις έκδοσης ασφαλείας του iOS 13.5, οι ευπάθειες που εντοπίστηκαν από την ZecOps επηρεάζουν το iPhone 6s και νεότερες έκδοσεις, το iPad Air 2 και μεταγενέστερες εκδόσεις, το iPad mini 4 και μεταγενέστερες έκδοσεις και το iPod touch 7ης γενιάς.
Με βάση την ανάλυση των δύο σφαλμάτων της ZecOps, όλες οι συσκευές που εκτελούν iOS 3.1.3 έως 13.4.1 εκτίθενται σε πιθανές επιθέσεις που θα καθιστούσαν δυνατή την εκτέλεση απομακρυσμένου κώδικα σε παραβιασμένες συσκευές iPhone και iPad και παρέχοντας πρόσβαση σε διαρροές, επεξεργασία και διαγραφή email.
Όπως μοιράστηκε ο ιδρυτής και διευθύνων σύμβουλος της ZecOps, “αυτές οι ευπάθειες υπήρχαν επίσης από το πρώτο iPhone (iPhone 1 / iPhone 2G) και τουλάχιστον από το iOS 3.1.3.”
Σε μια επίσημη δήλωση που κοινοποιήθηκε μετά την αποκάλυψη των ευρημάτων της ZecOps, η Apple αμφισβήτησε τους ισχυρισμούς των ερευνητών για συνεχιζόμενες επιθέσεις:
Η Apple λαμβάνει σοβαρά υπόψη όλες τις αναφορές απειλών ασφαλείας. Έχουμε διερευνήσει διεξοδικά την έκθεση του ερευνητή και, με βάση τις παρεχόμενες πληροφορίες, καταλήξαμε στο συμπέρασμα ότι αυτά τα ζητήματα δεν αποτελούν άμεσο κίνδυνο για τους χρήστες μας. Ο ερευνητής εντόπισε τρία ζητήματα στο Mail, αλλά μόνα τους δεν επαρκούν για να παρακάμψουν τις προστασίες ασφαλείας iPhone και iPad και δεν βρήκαμε στοιχεία που να χρησιμοποιήθηκαν εναντίον πελατών. Αυτά τα πιθανά ζητήματα θα αντιμετωπιστούν σύντομα σε μια ενημέρωση λογισμικού. Εκτιμούμε τη συνεργασία μας με ερευνητές ασφαλείας για να διατηρήσουμε τους χρήστες μας ασφαλείς και θα πιστώσουμε τον ερευνητή για τη βοήθειά του.
