Исследователи безопасности обнаружили пару уязвимостей нулевого дня в приложении Mail для iPhone и iPad, которые они обнаружили в дикой природе и которые используются злоумышленниками.
Исследователи обнаружили две уязвимости нулевого дня в Mail, которые активно использовались для атаки на пользователей. Кредит: ZecOps
Компания ZecOps из Сан-Франциско, специализирующаяся в области кибербезопасности, сообщила, что столкнулась с двумя недостатками стандартного приложения для iOS и iPadOS Mail при выполнении обычной цифровой экспертизы на пользовательских устройствах. После дальнейшего расследования они обнаружили доказательства целенаправленных нападений, которые они изложили в отчете в среду.
Эти уязвимости позволяют злоумышленнику запускать удаленный код, используя процессы Apple MobileMail и Mailid в iOS 12 и iOS 13, соответственно, с помощью специально созданного электронного письма. И при правильном срабатывании пользователь не узнает, что его взломали.
Исследователи утверждают, что варианты этого недостатка уходят как минимум до iOS 6. Поскольку уязвимости использовались для атаки на пользователей до того, как Apple смогла выпустить исправление, они считаются атаками нулевого дня, что важно, поскольку нулевые дни iOS крайне редки и часто довольно дороги.
Сами по себе недостатки не представляют особой опасности для пользователей — они позволяют злоумышленнику только пропускать, изменять или удалять электронные письма. Но в сочетании с другой атакой на ядро, например, с помощью незащищенного эксплойта Checkm8, уязвимости могут позволить рутовому пользователю с плохими правами доступа получить доступ к целевому устройству.
По крайней мере, один из недостатков может быть запущен удаленно без какого-либо взаимодействия с пользователем — атака, известная как «нулевой щелчок». ZecOps добавил, что вторая уязвимость, вероятно, была обнаружена случайно при попытке использовать нулевой щелчок. Уязвимость, влияющая на iOS 13 — это нулевой щелчок. В то время как недостаток iOS 12 действительно требует, чтобы пользователи действительно нажимали на электронную почту, это требование не относится к злоумышленникам, которые отправляют сообщения с почтового сервера, которым они управляют.
Пример неудачной атаки. Успешные не будут отображать сообщение об ошибке. Кредит: ZecOps
В своем отчете ZecOps обнаружил, что на него были нацелены несколько его клиентов, в том числе сотрудники компании из списка Fortune 500 в Северной Америке, журналист в Европе и VIP в Германии. Интересно, что хотя были доказательства того, что недостатки были выполнены на целевых устройствах, самих электронных писем не было. Это говорит о том, что злоумышленники удалили электронные письма, чтобы скрыть свои следы.
Исследователи полагают, что злоумышленники работали на государство-нацию, которое приобрело атаки у третьей стороны, добавив, что по крайней мере одна организация «хакер-на-найм» продавала эксплойты, использующие электронную почту в качестве основного вектора.
С другой стороны, исследователи в области безопасности, которые разговаривали с материнской платой, сказали, что этот недостаток был относительно неполированным по сравнению с другими взломами, а это означает, что искушенные злоумышленники, вероятно, посчитают его слишком рискованным для использования против «ценных целей».
Тем не менее, ZecOps отмечает, что атаки, использующие эксплойты, вероятно, будут увеличиваться по частоте, так как они теперь публично раскрыты. Исследователи говорят, что плохие актеры будут «атаковать как можно больше устройств», что означает, что обычные пользователи могут оказаться целью. Это становится более опасным, если эксплойты используют злоумышленники, имеющие доступ к дополнительным уязвимостям.
Уязвимости влияют только на собственное почтовое приложение, а не на сторонние приложения. Чтобы смягчить атаки, ZecOps рекомендует пользователям прекратить использование Mail на iOS и iPadOS, пока не будет выпущено исправление. MacOS не влияет.
ZecOps заявил, что предупредил Apple об уязвимостях в феврале. С тех пор оба недостатка были исправлены в последних бета-версиях iOS 13, и исправление должно появиться в следующем общедоступном обновлении iOS для iOS и iPadOS 13.4.5.
