Chyba v iPhonu ponechává e-maily zranitelné vůči hackerům, říká bezpečnostní společnost

Nově objevená chyba v aplikaci Mail pro iPhone by mohla útočníkovi dovolit číst, upravovat a mazat e-maily.

Apple říká, že opraví chybu zabezpečení v další verzi systému iOS, 13.4.5, a že uživatelé beta softwaru jsou již chráněni. Dokud však tato aktualizace nebude zpřístupněna široké veřejnosti, budou všichni ostatní uživatelé iPhone zranitelní vůči útoku, který lze použít k odcizení e-mailového obsahu.

Chyba je podle bezpečnostní společnosti zvláště závažná z několika důvodů ZecOps, která zveřejnila podrobnosti o svých zjištěních tento týden: neexistuje žádná veřejná oprava chyby, která ovlivňuje všechny verze iOS od 6; lze prozkoumat na nejnovější verzi iOS bez jakékoli interakce uživatele; a byl objeven v použití útočníky v reálném světě od ledna 2018.

Dokud nebude chyba zabezpečení opravena, ZecOps doporučuje uživatelům „zvážit deaktivaci aplikace Mail a používání aplikace Outlook nebo Gmail“.

Útok funguje zasláním speciálně vytvořených e-mailů, které zaplavují paměť zařízení, což útočníkovi umožňuje přerušit ochranu, kterou Apple obvykle zavádí, aby zabránil programu Mail v náhodném spuštění škodlivého kódu.

Podle Jake Moore, odborníka na kybernetickou bezpečnost ve společnosti Eset pro zabezpečení Internetu, obsahuje dostatečná omezení, aby se zabránilo jeho rozsáhlému využívání. Každý e-mail musí být vytvořen speciálně pro jeden cíl, spíše než pro „hromadný hack“, který ovlivňuje tisíce lidí, řekl.

"Je poněkud znepokojující, jak snadno se zdá, že soukromá data ze zařízení Apple byla vzdáleně exfiltraována," uvedl.

Pro ty, kteří mohou být úmyslně zacíleni hackery, však riziko není pouze teoretické. Vědci zabývající se bezpečností e-mailem prozkoumali své e-mailové záznamy o provozu a zjistili, že našli alespoň šest případů, kdy se domnívají, že chyba byla aktivně zneužita. Amerika".

Jakmile útočník získá možnost mazat e-maily, může také odstranit e-mail, který poslal, aby na první místo spustil zneužití, a účinně tak zakryl své stopy.

ZecOps uvedl, že věří, že útoky byly provedeny „alespoň jedním operátorem hrozeb z národního státu“, ale odmítl identifikovat jakoukoli zemi.

Satnam Narang, hlavní výzkumný inženýr v kybernetické pojišťovně Tenable, prohlásil, že vady byly „významné a pozoruhodné“. „Zatímco společnost Apple vydala opravy těchto nedostatků v beta verzi systému iOS 13.4.5, zařízení jsou stále zranitelná, dokud nebude konečná verze systému iOS 13.4.5 snadno dostupná všem majitelům zařízení iOS,“ uvedl.

„Mezitím je jediným selháním těchto selhání zakázání e-mailových účtů připojených k aplikaci iOS Mail a použití alternativní aplikace, například Microsoft Outlook nebo Google Gmail.“

Apple odmítl komentovat.

zdroj: Poručník // Kredity obrázků: Alamy

0 0 hlasovat
Hodnocení článku
PŘIHLÁSIT SE K ODBĚRU
Upozornit na
host

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou zpracovávány vaše zpětná vazby.

0 Komentáře
Vložené zpětné vazby
Zobrazit všechny komentáře