[Opdater] Alvorlige sikkerhedsproblemer i iOS med nul brugerinteraktion opdaget at blive aktivt udnyttet i naturen inde i Apple Mail App
Apple iOS, operativsystemet, der kører på iPhones, er sårbart over for flere nye sikkerhedssårbarheder. Det er bekymrende at bemærke, at manglerne ikke behøver brugerinteraktion. Sikkerhedssårbarhederne kan efter sigende udføres udelukkende uden at brugeren nogensinde behøver at udføre nogen handling, klikke på et hvilket som helst link, downloade en app osv. I øvrigt dette er ikke første gang sådanne alvorlige mangler i iOS er blevet opdaget.
To nye alvorlige sikkerhedssårbarheder i Apple iOS-operativsystemet blev afsløret i dag. Tilsyneladende giver disse fejl i iOS potentielt angribere mulighed for at få adgang til en iOS-kørende iPhone-enhed uden brugerhandling. Mere vigtigt er, at det eksternt udførte angreb også kan tillade Remote Code Execution (RCE), som kan omfatte administrativ kontrol af ofrets iPhone. Selvom de endnu ikke officielt bekræftes, udnyttes de nyligt opdagede sikkerhedssårbarheder i naturen. Tilsyneladende er Apple opmærksom på sikkerhedsfejlene og forventes at frigive en opdatering for at patch den samme.
Apple iOS 6 over iPhone-enhed, der er sårbar over for nyligt opdagede og aktivt udnyttede sikkerhedssårbarheder:
De nyligt opdagede sikkerhedssårbarheder i Apple iOS-operativsystemet gør det muligt for en angriber at slå fjerns enhed til eksternt. Desuden tillader fejlene angribere at få adgang til en iOS-enhed uden brugerhandling. Størstedelen af angrebene kræver en brugerhandling som at klikke på et link, installere et program eller åbne et dokument, hvor angrebet kan begynde. I dette tilfælde kan angriberen dog bare sende e-mails, der bruger en betydelig mængde hukommelse og få ekstern kodeudførelsesfunktioner i enheden.
De alvorlige sikkerhedssårbarheder i iOS uden brugerinteraktion blev opdaget af sikkerhedsfirmaet ZecOps. Forskerne i virksomheden hævder, at angribere allerede bruger disse sårbarheder i naturen. Uden at identificere målene hævdede forskerne, at de nyopdagede sikkerhedsfejl med succes er blevet brugt til at målrette mod følgende personer:
- Enkeltpersoner fra en Fortune 500-organisation i Nordamerika
- En direktør fra et luftfartsselskab i Japan
- En VIP fra Tyskland
- MSSP'er fra Saudi-Arabien og Israel
- En journalist i Europa
- Mistænkt: En direktør fra en schweizisk virksomhed
iOS er et helt lukket kilde-operativsystem designet og udviklet af Apple. Det er strengt kontrolleret og reguleret. OS er ikke så åbent som Google Android. Den seneste iteration af iOS er iOS 13. Imidlertid er alle enheder, der kører iOS 6 og nyere, påvirket af disse sikkerhedsfejl. Sikkerhedsforskere, der undersøger sårbarhederne, har fremhævet, hvordan angribere kan gå på kompromis med en Apple iOS, der kører iPhone. I de seneste iOS-versioner kan angrebet udføres på nedenstående måder:
- Angreb på iOS 13: Uassisterede (/ nul-klik) angreb på iOS 13, når Mail-applikationen åbnes i baggrunden
- Angreb på iOS 12: Angrebet kræver et klik på e-mailen. Angrebet udløses inden indholdet gengives. Brugeren bemærker ikke noget unormalt i selve e-mailen
- Uassisterede angreb på iOS 12 kan udløses (også kaldet nul-klik), hvis angriberen styrer mailserveren
Apple til at oprette sikkerhedssårbarheder i kommende opdatering:
Forskere hævder, at Apple er opmærksom på disse sikkerhedsfejl i iOS. De tilføjede, at Apple forventes at frigive en inkrementel opdatering til iOS, som inkluderer en rettelse, der vil patchere sårbarhederne. Indtil Apple frigiver en opdatering, er der imidlertid en måde at undgå at blive målrettet mod eller blive offer for sikkerhedsfejlene.
Forskere anbefaler helt at undgå Apple Mail App. Det er e-mail-platformen, der er designet, udviklet og vedligeholdt af Apple. I øvrigt understøtter mail-appen tredjeparts e-mail-konti som Gmail, Outlook osv. Derfor, indtil Apple frigiver en opdatering for at rette fejlene, kan brugerne være afhængige af Microsoft Outlook-appen eller andre lignende e-mail-klienter.
[Opdater]Apple har efter sigende udgivet en opdatering til patch af de to sikkerhedssårbarheder i Apple Mail App.