Специалисты компании ZecOps представили отчёт об опасной уязвимости, существующей в iOS. Описанный баг затрагивает встроенный почтовый клиент в iOS и эксплуатируется минимум с 2018 года. Уязвимости подвержены версии iOS от 6 до самой последней на текущий момент, т.е. 13.4.1.
По представленной в отчёте информации, эксплуатация уязвимости не требует непосредственного взаимодействия с атакуемым — достаточно направить ему вредоносное письмо. Если жертва получит такое письмо или откроет Apple Mail, эксплоит сработает. А вот сторонние почтовые клиенты подобной уязвимости не имеют.
Успешное использование уязвимости позволяет злоумышленникам похищать, изменять и удалять электронные письма. Это само по себе не очень-то приятно, но и это не всё. Исследователи предполагают, что в арсенале злоумышленников есть ещё одна уязвимость, на сей раз в ядре операционной системы. К сожалению, так как у злоумышленников есть возможность сразу же удалить вредоносные письма, пользователь может даже не понять, что стал жертвой атаки.
В настоящий момент были обнаружены попытки подобных атак на компании из списка Fortune 500. Исследователи уже уведомили Apple о данной уязвимости, и она была закрыта в бета-версии iOS 13.4.5.
Поскольку официально iOS 13.4.5 ещё не вышла, пользователям можно порекомендовать лишь отключение встроенного почтового клиента в iOS и использование сторонних почтовых программ.
Статьи по теме: