Apple | Bezpečnost | E-mail

V iPhonech a iPadech se téměř osm let skrývala kritická chyba. Apple chystá opravu

V iPhonech a iPadech se téměř osm let skrývala kritická chyba. Apple chystá opravu

Apple se chlubí svou přísnou kontrolou programů v obchodě App Store, proto lze předpokládat, že podobně přísně nahlíží i na své vlastní aplikace. Přesto se bezpečnostním expertům povedlo odhalit závažnou bezpečnostní chybu v poštovním klientovi Mail pro iOS. Dle jejich zjištění mohla hackerům umožnit přístup k zařízení bez toho, aby uživatel otevřel škodlivou e-mailovou zprávu.

Odborníci z bezpečnostní firmy ZecOps označují odhalenou díru jako „bez kliknutí“ („0-click“), čímž popisují její hlavní nebezpečí. Domnívají se, že může být přinejmenším od roku 2018 aktivně zneužívána útočníky při cílených atacích, což konkrétně dokladují příklady šesti dotčených organizací.

Útok bez jediného kliknutí

Na rozdíl od většiny zranitelností, které vyžadují alespoň to, aby uživatel otevřel e-mail, tato díra nepotřebuje žádnou interakci uživatele. Funguje tak, že útočník odešle e-mail, který způsobí přetečení vyrovnávací paměti s následným vzdáleným spuštěním kódu. To hackerům umožní vzdálený přístup k zařízení.

Zde je nutné podotknout, že ačkoli většina médií informuje o nutnosti poslat na cílové zařízení „velmi velký e-mail“, dle objevitelů „Stačí normální e-mail, který dokáže spotřebovat dostatek operační paměti.“ Existuje přitom hned několik způsobů, jak dosáhnout vyčerpání zdrojů – například použít formát RTF.

Klepněte pro větší obrázek 
V iPhonech a iPadech se téměř osm let skrývala kritická chyba

Kromě dočasného zpomalení zařízení si uživatelé pravděpodobně nevšimnou žádné známky naznačující, že jejich zařízení bylo napadeno. Ke spuštění škodlivého kódu může dojít ještě před stažením celého e-mailu, proto obsah zprávy nemusí nutně zůstat v zařízení.

Díra existuje skoro osm let

Kritická chyba se týká telefonů Apple iPhone a tabletů iPad a umožňuje útočníkům spouštět kód v kontextu výchozí poštovní aplikace. Ti pak mohou číst, upravovat nebo mazat zprávy. Zranitelnost se táhne již od iOS 6 vydaného v září roku 2012.

Odborníci na bezpečnost odhalili zmiňovanou chybu v únoru tohoto roku, následně ji nahlásili Applu a poskytli mu čas na vydání opravy. Záplata je již součástí iOS verze 13.4.5, který je aktuálně ve stádiu beta testování.

Uvolnění aktualizace se záplatou se očekává v rámci několika týdnů, během kterých lze předpokládat zvýšenou aktivitu hackerů, snažících se o zneužití exploitu. Uživatelům je proto až do vyřešení doporučeno používat jinou aplikaci pro práci s elektronickou poštou – například Gmail nebo Outlook.

Diskuze (31) Další článek: Stále více miliardářů si kvůli pandemii COVID-19 pořizuje luxusní podzemní bunkry

Témata článku: Apple, Bezpečnost, Gmail, iOS, Outlook, iPhone, App Store, iPad, Kód, E-mail, Kritická chyba, Zařízení, IOS verze, Exploit, ZEC, RTF, Oprava, Uživatelé, Hacker



Youtuber vyhrál sázku nad fyzikem. Vozidlo poháněné větrem opravdu může jet rychleji, než je rychlost větru

Youtuber vyhrál sázku nad fyzikem. Vozidlo poháněné větrem opravdu může jet rychleji, než je rychlost větru

** Může se objekt poháněný větrem pohybovat rychleji než vítr? ** Youtuber Muller tvrdí, že ano. Fyzik Kusenko, že nikoli ** Uzavřeli proto sázku o deset tisíc dolarů. Jak to dopadne?

Karel Kilián
Fyzika
Neoznámená Castlevania Advance Collection dostala další rating

Neoznámená Castlevania Advance Collection dostala další rating

Před pár týdny dostala tato kolekce rating v Austrálii, následovala Korea. Dnes se objevila i v databázi tchajwanské společnosti.

Martin Nahodil
ÚnikCastlevania
Takhle budou vypadat Windows 11. Prohlédněte si více než padesát obrázků
Lukáš Václavík
Windows 11Operační systémyMicrosoft