Спецпроекты

Миллиард iPhone в большой опасности. Apple не спешит их выручать

5546
Безопасность Пользователю Техника Мобильность

В iOS обнаружена уязвимость, появившаяся как минимум в версии 3.1.3 десятилетней давности. Она скрывается в фирменном почтовом клиенте Mail и позволяет удаленно взламывать iPhone и получать доступ к личной информации. Apple не признает проблему, и под угрозой находятся более 900 млн iPhone по всему миру.

Опасная уязвимость в iOS

Штатное почтовое приложение (Mail) в смартфонах Apple iPhone содержит уязвимость, которая может использоваться хакерами для удаленного взлома мобильных устройств. Как пишет Forbes, под угрозой находятся все активные в настоящее время iPhone, общее число которых во всем мире, по данным самой Apple, превышает 900 млн.

Уязвимость в приложении Mail дает злоумышленникам возможность удаленно, то есть без физического доступа к iPhone, выполнять на нем нужный ему код путем отправки на него специально созданных электронных писем. Это угрожает приватности персональных данных пользователя – хакер может получить доступ к фотографиям, видеороликам, переписке и всему, что присутствует в памяти гаджета.

Apple не признает проблему

По данным ресурса WCCFTech, Apple узнала о существовании уязвимости в ее собственном почтовом приложении еще в апреле 2020 г., но не посчитала ее критической. Она пообещала выпустить патч, закрывающий ее, в составе прошивки iOS 13.5, однако по состоянию на середину мая 2020 г. финальная версия этой версии мобильной ОС Apple не была доступна для скачивания и установки.

Эксперты ИБ-компании ZecOps не согласны с мнением Apple о степени опасности, которую таит в себе новая уязвимость iOS. По их оценке, проблема имеет очень серьезные масштабы, поскольку риску взлома подвержены все существующие модели iPhone, практически вне зависимости от того, какая версия прошивки на них установлена.

Не решая проблему, Apple ставит почти миллиард человек под угрозу утраты личной информации

Согласно информации ZecOps, триггеры этой уязвимости были найдены даже в прошивке iPhone OS 3.1.3, вышедшей в 2010 г. и установленной на iPhone первого поколения. Таким образом, пользователи iPhone с прошивками iOS от 3.1.3 до 13.4.1 (последняя на момент публикации материала версия iOS, вышла 7 апреля 2020 г.) рискуют быть взломанными.

Если Apple действительно устранит найденную в Mail брешь в iOS 13.5, то взлом (по крайней мере, через это приложение) не будет грозить владельцам iPhone, которые Apple еще поддерживает. Как будут обстоять дела с устаревшими смартфонами (от iPhone до iPhone 6S), на данный момент неизвестно – существует вероятность, что для них требуемый патч выпущен не будет.

Нет приложения – нет проблемы

На 15 мая 2020 г. существовал лишь один способ защитить iPhone от взлома посредством приложения Mail. Для этого нужно удалить его из памяти устройства и установить вместо него любую стороннюю утилиту для работы с электронной почтой. Под iOS в настоящее время существует множество email-клиентов, в том числе и от российских ИТ-гигантов – Mail.ru Group и «Яндекса».

С призывом удалить с iPhone приложение Mail даже выступило немецкое государственное ИБ-ведомство – Федеральное управление по информационной безопасности (Federal Office for Information Security – FOIS, Bundesamt fur Sicherheit in der Informationstechnik –BSI. О необходимости как можно скорее избавиться от опасного приложения заявил лично президент Управления Арне Шенбом (Arne Schonbohm) – он назвал найденную в Mail уязвимость критической.

«Дырявая» iOS

В мобильной платформе Apple регулярно обнаруживаются уязвимости, в том числе и столь же критические, как и в случае с приложением Mail. Apple практически всегда оперативно выпускает требуемые патчи безопасности, как это было, к примеру, с брешью в iOS 6.1.

В феврале 2013 г., как сообщал CNews, в iOS 6.1 была найдена уязвимость, позволявшая злоумышленникам, завладевшим iPhone с этой версией платформы, получать доступ к содержимому памяти, включая фотографии, контакты и другую персональную информацию, минуя пароль. Для того чтобы преодолеть парольную защиту, вору необходимо было выполнить серию манипуляций с устройством – нужно было поочередно нажать на кнопку питания, кнопку «Экстренный вызов», и затем кнопку возврата на домашний экран. После серии манипуляций злоумышленник мог получить доступ к данным на смартфоне, подключив его к произвольному компьютеру с приложением iTunes. При этом в iTunes никакого пароля вводить для синхронизации не требовалось.

В iOS присутствуют и менее серьезные уязвимости: в частности, в iOS 13 и iPad OS 13 есть ошибка, позволяющая ввести интерфейс системы в циклическую перезагрузку, прислав пользователю всего лишь одно сообщение. Оно должно содержать в себе эмоджи с изображением итальянского флага и один (или несколько) символ на языке синдхи – на нем говорят жители исторической области Синд в Пакистане.