Apple | Bezpečnost | E-mail

V iPhonech a iPadech se téměř osm let skrývala kritická chyba. Apple chystá opravu

Apple se chlubí svou přísnou kontrolou programů v obchodě App Store, proto lze předpokládat, že podobně přísně nahlíží i na své vlastní aplikace. Přesto se bezpečnostním expertům povedlo odhalit závažnou bezpečnostní chybu v poštovním klientovi Mail pro iOS. Dle jejich zjištění mohla hackerům umožnit přístup k zařízení bez toho, aby uživatel otevřel škodlivou e-mailovou zprávu.

Odborníci z bezpečnostní firmy ZecOps označují odhalenou díru jako „bez kliknutí“ („0-click“), čímž popisují její hlavní nebezpečí. Domnívají se, že může být přinejmenším od roku 2018 aktivně zneužívána útočníky při cílených atacích, což konkrétně dokladují příklady šesti dotčených organizací.

Útok bez jediného kliknutí

Na rozdíl od většiny zranitelností, které vyžadují alespoň to, aby uživatel otevřel e-mail, tato díra nepotřebuje žádnou interakci uživatele. Funguje tak, že útočník odešle e-mail, který způsobí přetečení vyrovnávací paměti s následným vzdáleným spuštěním kódu. To hackerům umožní vzdálený přístup k zařízení.

Zde je nutné podotknout, že ačkoli většina médií informuje o nutnosti poslat na cílové zařízení „velmi velký e-mail“, dle objevitelů „Stačí normální e-mail, který dokáže spotřebovat dostatek operační paměti.“ Existuje přitom hned několik způsobů, jak dosáhnout vyčerpání zdrojů – například použít formát RTF.

Klepněte pro větší obrázek 
V iPhonech a iPadech se téměř osm let skrývala kritická chyba

Kromě dočasného zpomalení zařízení si uživatelé pravděpodobně nevšimnou žádné známky naznačující, že jejich zařízení bylo napadeno. Ke spuštění škodlivého kódu může dojít ještě před stažením celého e-mailu, proto obsah zprávy nemusí nutně zůstat v zařízení.

Díra existuje skoro osm let

Kritická chyba se týká telefonů Apple iPhone a tabletů iPad a umožňuje útočníkům spouštět kód v kontextu výchozí poštovní aplikace. Ti pak mohou číst, upravovat nebo mazat zprávy. Zranitelnost se táhne již od iOS 6 vydaného v září roku 2012.

Odborníci na bezpečnost odhalili zmiňovanou chybu v únoru tohoto roku, následně ji nahlásili Applu a poskytli mu čas na vydání opravy. Záplata je již součástí iOS verze 13.4.5, který je aktuálně ve stádiu beta testování.

Uvolnění aktualizace se záplatou se očekává v rámci několika týdnů, během kterých lze předpokládat zvýšenou aktivitu hackerů, snažících se o zneužití exploitu. Uživatelům je proto až do vyřešení doporučeno používat jinou aplikaci pro práci s elektronickou poštou – například Gmail nebo Outlook.

Diskuze (31) Další článek: Stále více miliardářů si kvůli pandemii COVID-19 pořizuje luxusní podzemní bunkry

Témata článku: Apple, Bezpečnost, Gmail, iOS, iPhone, iPad, App Store, E-mail, Kód, Outlook, OSM, ZEC, Oprava, RTF, IOS verze, Kritická chyba, Uživatelé, Hacker, Zařízení, Exploit, Apple iPhone na Heureka.cz



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

** Zapomeňte na rozčtverečkovaná místa, kterých si každý všimne ** Mapy.cz musely dokonale zakrýt desítky parabol ** Základnou se přitom na webu chlubí i její majitel. Kocourkov

Jakub Čížek
ČeskoMapy.czMapy
Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

** Patentové spory většinou ústí k tomu, že jedna z firem zaplatí ** Oppo ani OnePlus však nechtějí platit 2,50 EUR za každý telefon ** Firmy už v Německu nesní prodávat, a to může platit i o dalších trzích

Martin Chroust
NěmeckoPatentSmartphony
Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

** Jak poznat, že váš telefon má nejlepší dny za sebou? ** Vypadá potlučeně, má pavučinu nebo nedostává aktualizace? ** Ukážeme si, kdy má smysl jeho oprava, a kdy už jen koupě nového

Martin Chroust
Prasklý displejVysloužilý mobilSmartphony
Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

** BeReal je novou hvězdou mezi sociálními sítěmi ** Ukazuje pouze všední realitu běžných dní ** Aplikace vám jednou denně dá dvě minuty na poslání vlastní fotky

Martin Chroust
BeRealMobilní aplikaceSociální sítě
Kde se vzala potřeba velkých operačních pamětí v telefonech a kolik RAM zabírá Android?

Kde se vzala potřeba velkých operačních pamětí v telefonech a kolik RAM zabírá Android?

** RAM je po procesoru druhým nejdůležitějším HW parametrem ** Stará se o rychlý multitasking a o svižné načítání dat ** Věděli jste, kolik v RAM průměrně zabírá Android 12?

Martin Chroust
Virtuální RAMOperační paměť