Apple исправляет две уязвимости в iOS, оспаривая их критичность. Выявленные баги позволяют читать, редактировать и удалять почтовые сообщения в предустановленном почтовом клиентах iOS во всех версиях системы с 6 по 13. Эксперты по безопасности указывают, что эти уязвимости эксплуатирует «национальное государство».
Прочесть, исправить, удалить
Эксперты по безопасности компании ZecOps нашли две уязвимости нулевого дня в почтовом клиенте в iOS, которые, по данным исследователей, уже активно используются. Компания Apple выпустила предварительные исправления, отметив, что сами по себе эти уязвимости не представляют прямой угрозы.
Изначально специалисты ZecOps расследовали ряд атак на VIP-пользователей iOS. Самые ранние из этих атак датированы январем 2018 г.
«Суть атаки сводится к отправке специального почтового сообщения жертвам, которое эксплуатирует уязвимость в контексте iOS MobileMail в iOS 12 или maild в iOS 13», — говорится в заявлении экспертов.
Первая из уязвимостей относится к классу «запись за пределами выделенного буфера памяти» (Out-of-bounds Write), вторая — к классу «удаленное переполнение кучи» (Remote Heap Overflow). Их эксплуатация позволяет в теории удаленно запускать произвольный код на скомпрометированных устройствах и как следствие просматривать, редактировать или удалять почтовые сообщения.
«Дополнительные уязвимости в ядре позволят получить полный доступ к устройству; у нас есть подозрения, что в распоряжении этих злоумышленников есть еще одна уязвимость», — указывают эксперты.
По их данным, эксплуатацией багов занимается как минимум одно национальное государство, чьи кибервойска «приобрели эксплойт на стадии Proof-of-Concept и используют его в оригинальном виде или с минимальными изменениями».
«В то время как ZecOps предпочитает воздерживаться от прямого отождествления этих атак с каким-то конкретным актором, нам известно, что как минимум одна наемническая хакерская организация продает эксплойты к уязвимостям, использующим почтовые адреса в качестве главного идентификатора», — говорится в исследовании.
Среди жертв, по данным ZecOps, оказались представители североамериканской организации, входящей в Fortune 500, директор одной из телекоммуникационных компаний в Японии, некая важная персона из Германии, работники компаний — сервис-провайдеров из Саудовской Аравии и Израиля, журналист из Европы, и, возможно, директор неназванной швейцарской корпорации.
Все версии, начиная с шестой
Уязвимости присутствовали в iOS с версии 6, выпущенной в 2012 г. Впервые эксплуатация была отмечена в январе 2018 г., жертвой стал обладатель устройства под управлением iOS 11.2.2. По всей видимости, уязвимости затрагивают все версии iOS, начиная с 6 и заканчивая самой актуальной — 13.4.1.
По мнению исследователей, атака на пользователей iOS 13 может быть произведена в фоновом режиме, без какого-либо участия пользователя, поскольку почтовый клиент скачивает все сообщения автоматически. Угроза для пользователей iOS 12 чуть меньше: для эксплуатации уязвимости нужно, чтобы жертва открыла почтовое сообщение. Однако если злоумышленникам каким-то образом удается получить контроль над почтовым сервером, атаку можно произвести тоже без малейшего содействия со стороны жертвы.
Apple выпустила бета-версию обновления iOS 13.4.5, устраняющую обе проблемы. Вероятнее всего, в скором времени обновление станет официальным и будет централизованно разослано всем пользователям устройств под iOS.
В компании также заявили, что сами по себе эти уязвимости не могут привести к полной компрометации устройств, что косвенно подтверждают и эксперты ZecOps. Так что нет смысла рассматривать их как критичные. Обновление будет выпущено штатным порядком, объявили в Apple.
«Утверждения представителей Appleо том, что уязвимости не столь опасны, скорее всего, более-менее соответствуют действительности, поскольку в iOS защита многослойная, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services.
В этом, однако, заключается и плохая новость: следовательно, существует еще какая-то неизвестная уязвимость, в присутствии которой эти две становятся критически опасными. Остается надеяться, что ее в ближайшее время обнаружат и устранят».