По сообщениям компании ZecOps, в iOS 13 (хотя и в iOS 12 тоже), были обнаружены две уязвимости нулевого дня (те, о которых не знают разработчики). Сутью уязвимостей является возможность удаленного заражения целевого устройства без помощи самого пользователя.
Возможность эксплойта найдена в стандартном приложении Mail на iOS, начиная с 6 версии и новее.
Эта уязвимость делает возможным удаленное выполнение кода и позволяет злоумышленнику удаленно заражать устройство, отправляя электронные письма, которые занимают значительный объем памяти.
Компания также утверждает, что они нашли доказательства широкого использования этого эксплойта в настоящее время.
Цель атаки заключается в отправке специально созданного электронного письма в почтовый ящик жертвы, что позволяет ему инициировать уязвимость в контексте приложения iOS MobileMail на iOS 12 или на iOS 13. Основываясь на исследованиях ZecOps и анализе угроз, мы с большой уверенностью полагаем, что эти уязвимости широко используются в настоящее время.
В отчете сообщается, что зараженные письма отправляются хакерами, которые после взлома получают доступ к целевым устройствам.
Следует отметить: несмотря на то, что было получено подтверждение о доставке зараженного письма жертвой, на сервере жертвы не было ни единого подтверждающего факта о том, что письмо вообще было. Скорее всего это один из механизмов атаки, который "подчищает" за собой следы.
Недостатком механизма уязвимости является тот факт, что зараженное письмо имеет большой "вес", так что его доставка может быть заблокирована сервис-провайдером электронной почты жертвы, по причине превышения лимита на размер обычного письма.
Основатель ZecOps Зук Авраам отметил, что эксплойт не работает в приложениях Gmail или Outlook для iOS, но, возможно, уязвимость остается при получении почты Gmail или Microsoft с помощью штатного приложения Apple Mail.
С другой стороны, эта уязвимость не так универсальна, как другие, поскольку полагается на отправку электронной почты большого размера, которая может быть заблокирована некоторыми почтовыми провайдерами. Эксплойт работает только в стандартном приложении Apple Mail, и не работает в приложениях Gmail или Outlook. Причем Google не ответили на вопрос о блокировке подобных e-mail, так же, как и Microsoft.
Опять же, со слов компании ZecOps, они не обнаружили доказательств массового использования данной уязвимости. Ее использовали очень направленно. Чаще всего, чтобы получать доступ до электронной почты топ-менеджеров или публичных персон.
Хотя 24 апреля 2020 года компания Apple выпустила официальное заявление, в котором не подтверждают факт злонамеренного использования уязвимости:
Apple серьезно относится ко всем сообщениям об угрозах безопасности. Мы тщательно изучили отчет исследовательской команды и, основываясь на предоставленной информации, пришли к выводу, что эти проблемы не представляют непосредственного риска для наших пользователей. Исследователи выявили три проблемы в приложении Mail, но их недостаточно для обхода средств защиты iPhone и iPad, и мы не нашли доказательств того, что они использовались против клиентов. Эти потенциальные проблемы будут решены в ближайшее время при обновлении программного обеспечения. Мы ценим наше сотрудничество с исследователями вопросов безопасности, и выражаем им свою благодарность.
Впрочем, "дыру" залатали в свежем обновлении iOS 13.4.5 и iPadOS 13.4.5, которые, на момент написания новости, находятся в стадии Public Beta.