Apple se chlubí svou přísnou kontrolou programů v obchodě App Store, proto lze předpokládat, že podobně přísně nahlíží i na své vlastní aplikace. Přesto se bezpečnostním expertům povedlo odhalit závažnou bezpečnostní chybu v poštovním klientovi Mail pro iOS. Dle jejich zjištění mohla hackerům umožnit přístup k zařízení bez toho, aby uživatel otevřel škodlivou e-mailovou zprávu.
Odborníci z bezpečnostní firmy ZecOps označují odhalenou díru jako „bez kliknutí“ („0-click“), čímž popisují její hlavní nebezpečí. Domnívají se, že může být přinejmenším od roku 2018 aktivně zneužívána útočníky při cílených atacích, což konkrétně dokladují příklady šesti dotčených organizací.
Útok bez jediného kliknutí
Na rozdíl od většiny zranitelností, které vyžadují alespoň to, aby uživatel otevřel e-mail, tato díra nepotřebuje žádnou interakci uživatele. Funguje tak, že útočník odešle e-mail, který způsobí přetečení vyrovnávací paměti s následným vzdáleným spuštěním kódu. To hackerům umožní vzdálený přístup k zařízení.
Zde je nutné podotknout, že ačkoli většina médií informuje o nutnosti poslat na cílové zařízení „velmi velký e-mail“, dle objevitelů „Stačí normální e-mail, který dokáže spotřebovat dostatek operační paměti.“ Existuje přitom hned několik způsobů, jak dosáhnout vyčerpání zdrojů – například použít formát RTF.
V iPhonech a iPadech se téměř osm let skrývala kritická chyba
Kromě dočasného zpomalení zařízení si uživatelé pravděpodobně nevšimnou žádné známky naznačující, že jejich zařízení bylo napadeno. Ke spuštění škodlivého kódu může dojít ještě před stažením celého e-mailu, proto obsah zprávy nemusí nutně zůstat v zařízení.
Díra existuje skoro osm let
Kritická chyba se týká telefonů Apple iPhone a tabletů iPad a umožňuje útočníkům spouštět kód v kontextu výchozí poštovní aplikace. Ti pak mohou číst, upravovat nebo mazat zprávy. Zranitelnost se táhne již od iOS 6 vydaného v září roku 2012.
Odborníci na bezpečnost odhalili zmiňovanou chybu v únoru tohoto roku, následně ji nahlásili Applu a poskytli mu čas na vydání opravy. Záplata je již součástí iOS verze 13.4.5, který je aktuálně ve stádiu beta testování.
Uvolnění aktualizace se záplatou se očekává v rámci několika týdnů, během kterých lze předpokládat zvýšenou aktivitu hackerů, snažících se o zneužití exploitu. Uživatelům je proto až do vyřešení doporučeno používat jinou aplikaci pro práci s elektronickou poštou – například Gmail nebo Outlook.
