Компанията за киберсигурност ZecOps публикува в доклад непубликувано нарушение на сигурността, свързано с приложението по имейл по подразбиране на телефони и таблети, произведени от Apple, които имат операционна система IOS 6 или по-нова, включително най-новата версия на операционната система.

iphone

Компанията съобщи, че това не е откритие просто на теоретично ниво и потвърждава, че това би било форма на атака, която вече е била използвана.

Въпреки че ZecOps не предоставя имена, той е насочен към ръководители на големи компании в САЩ и директор на японска телекомуникационна компания, от когото би получил доказателства за злонамерения код.

Действието на тази атака се състои в изпращане на специално модифицирани имейли до входящата поща на жертвата. В случай, че жертвата използва приложението по имейл по подразбиране в iOS 12 или 13, уязвимостта ще бъде разрешена за изпълнение и следователно на нападателите ще бъде позволено да крадат, редактират или изтриват имейли.

Компанията уверява „с висока увереност“, че тези уязвимости се „широко експлоатират при атаки, насочени от оператор (и) на напреднали заплахи“. Според изследователите са засегнати всички iPhone и iPad с iOS 6 или по-нова версия, включително най-новата версия 13.4.1.

Telcos инвестира целия бюджет за 2020 г. навреме, за да прецизира мрежата: сега липсва домашен WiFi

Уязвимостта е особено сериозна в iOS 13, тъй като не е необходимо взаимодействие с потребителя за компрометиране на устройството, просто приложението Mail се изпълнява във фонов режим. В iOS 12 жертвата трябва да кликне върху злонамерения имейл, активирайки атаката, преди да се покаже съдържанието на съобщението.

Друг от най-тревожните аспекти е, че този тип атака не представя симптоми, с изключение на това, че iOS 13 изпитва временно забавяне на телефона (или таблета). В случай на iOS 12, симптом би бил, че пощенското приложение спира внезапно.

Да бъде Манзана информиран за тази грешка, преди да бъде оповестена публично, корекцията, която адресира тези сериозни уязвимости, вече е включена във версията на iOS 13.4.5 beta 2, издадена на 15 април.

Тъй като обаче е предварителна версия, на много малко устройства е инсталиран и се очаква през следващите няколко дни да бъде пусната актуализация за всички поддържани устройства, препоръчаха от компанията за киберсигурност Eset.

Междувременно потребителите, които чакат актуализацията, могат временно да изберат да превключат своето имейл приложение на друго, което не е уязвимо, като например Gmail или Outlook.