Zevajoča luknja v Mail aplikaciji na iPhonih
Dare Hriberšek
24. apr 2020 ob 15:14:55
Poročilo podjetja ZecOps razkriva dva hrošča v privzeti poštni aplikaciji, ki domnevno ogrožata na milijone uporabnikov iPhonov in iPadov. V podjetju še zatrjujejo, da so varnostno vrzel neznanci doslej že izkoristili za napade na šest znanih uporabnikov, konkretnih imen niso razkrili. O svoji najdbi so Apple obvestili že meseca marca.
Po navedbah raziskovalcev je prvi hrošč povezan z RCE (remote code execution) napako v MIME knjižnici aplikacije Mail, ki napadalcu omogoča oddaljeni zagon zlonamerne kode. Drugi hrošč je povezan s t. i. prekoračitvijo medpomnilnika na kopici (heap overflow). Exploita delujeta tako, da hekerji uporabniku pošljejo navidez neškodljivo, prazno sporočilo. Ko ga ta odpre, se aplikacija Mail sesuje, sistem pa od uporabnika zahteva ponovni zagon naprave. Med zagonom pa lahko nepridipravi dostopajo do podatkov na napravi. Ključna nevarnost obeh lukenj tiči v tem, da ne potrebujeta uporabnikove interakcije, v smislu prenašanja datotek ali obiska kakega spletnega mesta.
Obe varnostni vrzeli ogrožata iPhone in Ipade zadnjih osmih let, od iOS različice 6 pa vse do aktualne iOS 13.4.1, popravka zanju za zdaj še ni, pri Applu so ga napovedali v kratkem.
Predstavniki Appla so vse navedbe zanikali in zatrdili, da so poročilo preučili in na podlagi teh informacij zaključili, da varnostna luknja ne predstavlja neposredne nevarnosti za uporabnike. Pri tem so po lastnih besedah proučili vse, v poročilu omenjene hrošče, ki naj bi ogrožali aplikacijo Mail in ti po njihovem mnenju sami zase ne morejo obiti varnostnih elementov na njihovih napravah. Prav tako nimajo podatkov o tem, da bi bila ranljivost kdajkoli zlorabljena pri njihovih uporabnikih. ZecOps sicer trdi, da da so našli dokaze, da je bil napaden nekdo iz velikega podjetja v ZDA, direktor mobilnega ponudnika na Japonskem, zaposleni v tehnoloških podjetjih v Izraelu in Saudski Arabiji, neki evropski novinar ter posameznik iz Nemčije.
Poročilo podjetja Volexity pa razkriva, da Kitajske oblasti zlorabljajo nekoliko starejše ranljivosti na iOS napravah za nadzor nad muslimansko manjšino Ujgurov. Exploit po imenu Insomnia zlorablja napako v odprtokodnem pogonu za brskalnike WebKit za iOS različice 12.3.1 in 12.3.2., ki so jo pri Applu sicer že ustrezno popravili. Za napadi naj bi po trditvah raziskovalcev Volexity stala z državo povezana hekerska skupina Evil Eye. Napadi potekajo prek nabora lažnih spletnih strani, kjer se uporabniku v sistem s pomočjo Watering hole napada potihem naloži Insomnia, s čimer si napadalci pridobijo korenski dostop do naprave.
Po lanski prvi objavi poročila so omenjene spletne strani za nekaj časa poniknile, prav tako tudi command&control strežniška infrastruktura, a so se napadi v začetku letošnjega leta znova pojavili.