[Oppdater] iOS alvorlige sikkerhetsproblemer med null brukerinteraksjon oppdaget å bli aktivt utnyttet i naturen i Apple Mail-appen
Apple iOS, operativsystemet som kjører på iPhones, er sårbart for flere nye sikkerhetsproblemer. Det er bekymringsfullt å merke seg at feilene ikke trenger brukerinteraksjon. Sikkerhetsproblemene kan angivelig utføres helt uten at brukeren noen gang trenger å utføre noen handlinger, klikke på en hvilken som helst lenke, laste ned en app osv. Forresten, dette er ikke første gang slike alvorlige feil i iOS blir oppdaget.
To nye alvorlige sikkerhetsproblemer i Apple iOS-operativsystemet ble avslørt i dag. Tilsynelatende lar disse feilene i iOS potensielt angriperne få tilgang til en iOS-kjørende iPhone-enhet uten brukerhandling. Enda viktigere, det eksternt utførte angrepet kan også tillate Remote Code Execution (RCE), som kan omfatte administrativ kontroll av offerets iPhone. Selv om det ennå ikke er offisielt bekreftet, blir de nylig oppdagede sikkerhetsproblemene utnyttet i naturen. Tilsynelatende er Apple klar over sikkerhetsfeilene og forventes å gi ut en oppdatering for å lappe den samme.
Apple iOS 6 over iPhone-enheten er sårbar for nylig oppdagede og aktivt utnyttede sikkerhetsproblemer:
De nylig oppdagede sikkerhetsproblemene i Apple iOS-operativsystemet lar en angriper eksternt slå offerets enhet. Dessuten tillater feilene angripere å få tilgang til en iOS-enhet uten brukerhandling. De fleste angrep krever brukerhandlinger som å klikke på en lenke, installere et program eller åpne et dokument for at angrepet skal starte. Imidlertid kan angriperen i dette tilfellet bare sende e-post som bruker en betydelig mengde minne og få ekstern kodeutførelsesfunksjoner i enheten.
De alvorlige sikkerhetsproblemene i iOS uten brukerinteraksjon ble oppdaget av sikkerhetsfirmaet ZecOps. Forskerne ved selskapet hevder at angripere allerede bruker disse sårbarhetene i naturen. Uten å identifisere målene hevdet forskerne at de nylig oppdagede sikkerhetsfeilene har blitt brukt med hell for å målrette mot følgende personer:
- Enkeltpersoner fra en Fortune 500-organisasjon i Nord-Amerika
- En leder fra en transportør i Japan
- En VIP fra Tyskland
- MSSP fra Saudi-Arabia og Israel
- En journalist i Europa
- Mistenkt: En leder fra et sveitsisk foretak
iOS er et helt lukket kildesystem designet og utviklet av Apple. Det er strengt kontrollert og regulert. Operativsystemet er ikke like åpent som Google Android. Den siste iterasjonen av iOS er iOS 13. Imidlertid er alle enheter som kjører iOS 6 og nyere, berørt av disse sikkerhetsfeilene. Sikkerhetsforskere som undersøker sårbarhetene, har fremhevet måtene angripere kan kompromittere en Apple iOS som kjører iPhone. I de siste iOS-versjonene kan angrepet utføres på følgende måter:
- Angrep på iOS 13: Uassisterte (/ null-klikk) angrep på iOS 13 når Mail-applikasjonen åpnes i bakgrunnen
- Angrep på iOS 12: Angrepet krever et klikk på e-posten. Angrepet vil bli utløst før innholdet gjengis. Brukeren merker ikke noe unormalt i selve e-posten
- Ikke-assisterte angrep på iOS 12 kan utløses (aka nullklikk) hvis angriperen styrer e-postserveren
Apple for å lappe sikkerhetsproblemer i kommende oppdatering:
Forskere hevder Apple er klar over disse sikkerhetsfeilene i iOS. De la til at Apple forventes å gi ut en inkrementell oppdatering til iOS som vil inneholde en løsning som vil lappe sårbarhetene. Inntil Apple utgir en oppdatering, er det imidlertid en måte å unngå å bli målrettet mot eller bli et offer for sikkerhetsfeil.
Forskere anbefaler helt å unngå Apple Mail App. Det er e-postplattformen som er designet, utviklet og vedlikeholdt av Apple. Forresten støtter e-postappen tredjeparts e-postkontoer som Gmail, Outlook osv. Derfor, til Apple utgir en oppdatering for å fikse feilene, kan brukerne være avhengige av Microsoft Outlook-appen eller andre lignende e-postklienter.
[Oppdater]Apple har angivelig gitt ut en oppdatering for å lappe de to sikkerhetsproblemene i Apple Mail App.