Apple | Bezpečnost | E-mail

V iPhonech a iPadech se téměř osm let skrývala kritická chyba. Apple chystá opravu

V iPhonech a iPadech se téměř osm let skrývala kritická chyba. Apple chystá opravu

Apple se chlubí svou přísnou kontrolou programů v obchodě App Store, proto lze předpokládat, že podobně přísně nahlíží i na své vlastní aplikace. Přesto se bezpečnostním expertům povedlo odhalit závažnou bezpečnostní chybu v poštovním klientovi Mail pro iOS. Dle jejich zjištění mohla hackerům umožnit přístup k zařízení bez toho, aby uživatel otevřel škodlivou e-mailovou zprávu.

Odborníci z bezpečnostní firmy ZecOps označují odhalenou díru jako „bez kliknutí“ („0-click“), čímž popisují její hlavní nebezpečí. Domnívají se, že může být přinejmenším od roku 2018 aktivně zneužívána útočníky při cílených atacích, což konkrétně dokladují příklady šesti dotčených organizací.

Útok bez jediného kliknutí

Na rozdíl od většiny zranitelností, které vyžadují alespoň to, aby uživatel otevřel e-mail, tato díra nepotřebuje žádnou interakci uživatele. Funguje tak, že útočník odešle e-mail, který způsobí přetečení vyrovnávací paměti s následným vzdáleným spuštěním kódu. To hackerům umožní vzdálený přístup k zařízení.

Zde je nutné podotknout, že ačkoli většina médií informuje o nutnosti poslat na cílové zařízení „velmi velký e-mail“, dle objevitelů „Stačí normální e-mail, který dokáže spotřebovat dostatek operační paměti.“ Existuje přitom hned několik způsobů, jak dosáhnout vyčerpání zdrojů – například použít formát RTF.

Klepněte pro větší obrázek 
V iPhonech a iPadech se téměř osm let skrývala kritická chyba

Kromě dočasného zpomalení zařízení si uživatelé pravděpodobně nevšimnou žádné známky naznačující, že jejich zařízení bylo napadeno. Ke spuštění škodlivého kódu může dojít ještě před stažením celého e-mailu, proto obsah zprávy nemusí nutně zůstat v zařízení.

Díra existuje skoro osm let

Kritická chyba se týká telefonů Apple iPhone a tabletů iPad a umožňuje útočníkům spouštět kód v kontextu výchozí poštovní aplikace. Ti pak mohou číst, upravovat nebo mazat zprávy. Zranitelnost se táhne již od iOS 6 vydaného v září roku 2012.

Odborníci na bezpečnost odhalili zmiňovanou chybu v únoru tohoto roku, následně ji nahlásili Applu a poskytli mu čas na vydání opravy. Záplata je již součástí iOS verze 13.4.5, který je aktuálně ve stádiu beta testování.

Uvolnění aktualizace se záplatou se očekává v rámci několika týdnů, během kterých lze předpokládat zvýšenou aktivitu hackerů, snažících se o zneužití exploitu. Uživatelům je proto až do vyřešení doporučeno používat jinou aplikaci pro práci s elektronickou poštou – například Gmail nebo Outlook.

Diskuze (31) Další článek: Stále více miliardářů si kvůli pandemii COVID-19 pořizuje luxusní podzemní bunkry

Témata článku: Apple, Bezpečnost, iOS, iPhone, Kód, iPad, Gmail, App Store, Outlook, E-mail, Kritická chyba, Uživatelé, RTF, Oprava, Hacker, Zařízení


Určitě si přečtěte

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 1

Na měsíc jsem opustil Google a potupně se zase vrátil zpět (komentář)

Na měsíc jsem opustil Google a potupně se zase vrátil zpět (komentář)

** Zkusil jsem se zbavit závislosti na vyhledávači od Googlu ** Jako alternativy posloužily Bing, Seznam a DuckDuckGo ** Mají své silné stránky, ale i nepřekonatelná negativa

Lukáš Václavík | 54

Velká analýza 10 000 největších webů ukázala, že jsou tak nějak všechny stejné

Velká analýza 10 000 největších webů ukázala, že jsou tak nějak všechny stejné

** Podoba webů se za těch 30 let dramaticky proměnila ** Dnes jsou ale poměrně uniformní – podobné ** Ukazuje to i analýza z Indianské univerzity

Jakub Čížek | 34

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

** Dnes už skoro všechno uděláte ve webovém prohlížeči a na mobilu ** Před dvaceti lety to ale bylo jiné ** Zavzpomínejte na legendy, které jste pravděpodobně také používali

Jakub Čížek | 123

Apple vychrlil novinky: Nové operační systémy a příprava na vlastní procesory

Apple vychrlil novinky: Nové operační systémy a příprava na vlastní procesory

** Apple dnes představuje novinky ** Tradiční keynote v rámci konference WWDC probíhá jen online ** Nové operační systémy, ale i něco navíc

David Polesný | 108


Aktuální číslo časopisu Computer

Megatest SSD s kapacitou 1 TB

Srovnávací test robotických vysavačů

Vybíráme nejlepší telefony na trhu

Jak zlepšit zvuk televize