27 Апреля 2020 09:57 27 Апр 2020 09:57 |

Поделиться

Хакеры атакуют VIP-пользователей через «дыру» в iPhone. Уязвимы все устройства, выпущенные с 2012 года

Прочесть, исправить, удалить

Эксперты по безопасности компании ZecOps нашли две уязвимости нулевого дня в почтовом клиенте в iOS, которые, по данным исследователей, уже активно используются. Компания Apple выпустила предварительные исправления, отметив, что сами по себе эти уязвимости не представляют прямой угрозы.

Изначально специалисты ZecOps расследовали ряд атак на VIP-пользователей iOS. Самые ранние из этих атак датированы январем 2018 г. «Суть атаки сводится к отправке специального почтового сообщения жертвам, которое эксплуатирует уязвимость в контексте iOS MobileMail в iOS 12 или maild в iOS 13», — говорится в заявлении экспертов.

Первая из уязвимостей относится к классу «запись за пределами выделенного буфера памяти» (Out-of-bounds Write), вторая — к классу «удаленное переполнение кучи» (Remote Heap Overflow). Их эксплуатация позволяет в теории удаленно запускать произвольный код на скомпрометированных устройствах и как следствие просматривать, редактировать или удалять почтовые сообщения.

«Дополнительные уязвимости в ядре позволят получить полный доступ к устройству; у нас есть подозрения, что в распоряжении этих злоумышленников есть еще одна уязвимость», — указывают эксперты.

По их данным, эксплуатацией багов занимается как минимум одно национальное государство, чьи кибервойска «приобрели эксплойт на стадии Proof-of-Concept и используют его в оригинальном виде или с минимальными изменениями».

«В то время как ZecOps предпочитает воздерживаться от прямого отождествления этих атак с каким-то конкретным актором, нам известно, что как минимум одна наемническая хакерская организация продает эксплойты к уязвимостям, использующим почтовые адреса в качестве главного идентификатора», — говорится в исследовании.

Среди жертв, по данным ZecOps, оказались представители североамериканской организации, входящей в Fortune 500, директор одной из телекоммуникационных компаний в Японии, некая важная персона из Германии, работники компаний — сервис-провайдеров из Саудовской Аравии и Израиля, журналист из Европы, и, возможно, директор неназванной швейцарской корпорации.

Все версии, начиная с шестой

Уязвимости присутствовали в iOS с версии 6, выпущенной в 2012 г. Впервые эксплуатация была отмечена в январе 2018 г., жертвой стал обладатель устройства под управлением iOS 11.2.2. По всей видимости, уязвимости затрагивают все версии iOS, начиная с 6 и заканчивая самой актуальной — 13.4.1.

По мнению исследователей, атака на пользователей iOS 13 может быть произведена в фоновом режиме, без какого-либо участия пользователя, поскольку почтовый клиент скачивает все сообщения автоматически. Угроза для пользователей iOS 12 чуть меньше: для эксплуатации уязвимости нужно, чтобы жертва открыла почтовое сообщение. Однако если злоумышленникам каким-то образом удается получить контроль над почтовым сервером, атаку можно произвести тоже без малейшего содействия со стороны жертвы.

Apple выпустила бета-версию обновления iOS 13.4.5, устраняющую обе проблемы. Вероятнее всего, в скором времени обновление станет официальным и будет централизованно разослано всем пользователям устройств под iOS.

В компании также заявили, что сами по себе эти уязвимости не могут привести к полной компрометации устройств, что косвенно подтверждают и эксперты ZecOps. Так что нет смысла рассматривать их как критичные. Обновление будет выпущено штатным порядком, объявили в Apple.

«Утверждения представителей Appleо том, что уязвимости не столь опасны, скорее всего, более-менее соответствуют действительности, поскольку в iOS защита многослойная, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — В этом, однако, заключается и плохая новость: следовательно, существует еще какая-то неизвестная уязвимость, в присутствии которой эти две становятся критически опасными. Остается надеяться, что ее в ближайшее время обнаружат и устранят».

Роман Георгиев

Поделиться

Короткая ссылка