Nie ma rzeczy idealnych, a wszystko, co człowiek zrobił, inny może popsuć, a kolejny będzie usiłował wykorzystać zamieszanie z tym związane do własnych celów. Tak też jest z atakami na urządzenia i systemy.
Uwaga! Okazuje się, że błąd nie jest wcale tak poważny jak go ZecOps opisuje!
Ślady błędu w Mail znaleziony przez ZecOps
Jak pisze Patently Apple, Apple planuje naprawić usterkę, która mogła wystawić ponad pół miliarda iPhone’ów na działanie hakerów. Błąd, który istnieje również na iPadach, został odkryty przez ZecOps, firmę z San Francisco, zajmującą się mobilną kryminalistyką i cyberbezpieczenstwem. Zuk Avraham, dyrektor generalny ZecOps, powiedział, że podczas dochodzenia w sprawie wyrafinowanego ataku cybernetycznego na klienta, który miał miejsce pod koniec 2019 roku, znalazł dowody na to, że ta sama luka została wykorzystana w co najmniej sześciu przypadkach włamania do systemów. Avraham stwierdził, że znalazł dowody na to, że złośliwy program wykorzystywał lukę w mobilnym systemie operacyjnym Apple iOS już od stycznia 2018 roku. Nie ustalono, kim byli hakerzy. ZecOps zgłosił całość sprawy do Apple i współpracuje przy jej rozwiązaniu.
Rzecznik prasowy Apple przyznał, że w oprogramowaniu Apple do poczty elektronicznej na iPhone’ach i iPad’ach, istnieje luka i że firma opracowała poprawkę, która zostanie wprowadzona w najbliższej aktualizacji.
Oto jak podatność opisuje na swojej stornie ZecOps:
-
Luka pozwala na zdalne wykonanie kodu i umożliwia napastnikowi zdalne zainfekowanie urządzenia poprzez wysłanie wiadomości e-mail, które pochłaniają znaczną ilość pamięci.
-
Luka niekoniecznie wymaga dużej wiadomości e-mail – wystarczy zwykła wiadomość, która jest w stanie zużyć wystarczającą ilość pamięci RAM, np. renderując teksty RTF.
-
Luka może zostać wyzwolona przed pobraniem całej wiadomości e-mail, dlatego treść wiadomości e-mail nie musi pozostać w urządzeniu.
-
Nie można wykluczyć możliwości, że atakujący mogli usunąć pozostałości wiadomości e-mail po udanym ataku.
-
Podatność może być użyta, nawet gdy Mail w tle sam pobiera pocztę (bez konieczności interakcji z użytkownikiem).
Zawsze pamiętajcie, aby aktualizować iOS i iPadOS najlepiej, gdy tylko będziecie mieli taką możliwość. Jak widać, zło czyha i czyhać będzie, a wyścig pomiędzy twórcami systemów i hakerami oraz przestępcami trwa stale.
Dobrze by było gdyby społeczeństwo rozróżniało słowo haker od przestępca. Haker oczywiście może być przestępcą (crackerem), tak jak ślusarz może być włamywaczem. Jednak większość hakerów, nie jest przestępcami. Większość cyberprzestępców nie jest hakerami.
A kiedy naprawią wysypywanie się Mail w macOS?