Apple iOS, операционната система, работеща на iPhone, е уязвима към множество нови уязвимости в сигурността. Тревожно е да се отбележи, че недостатъците не се нуждаят от взаимодействие с потребителя. Съобщава се, че уязвимостите в сигурността могат да бъдат изпълнени изцяло, без потребителят някога да се налага да извършва каквото и да е действие, да щраква върху която и да е връзка, да изтегля всяко приложение и т.н. това не е първият път, когато се откриват такива сериозни недостатъци в iOS .
Днес бяха разкрити две нови сериозни уязвимости в сигурността в операционната система Apple iOS. Очевидно тези недостатъци в iOS потенциално позволяват на хакерите да получат достъп до iOS устройство, работещо под iPhone, без никакви действия на потребителя. По-важното е, че дистанционно изпълнената атака може да позволи и дистанционно изпълнение на код (RCE), което може да включва административен контрол на iPhone на жертвата. Въпреки че тепърва ще бъдат официално потвърдени, новооткритите уязвимости в сигурността се използват в дивата природа. Очевидно Apple е наясно с недостатъците в сигурността и се очаква да пусне актуализация, за да поправи същото.
Apple iOS 6 Над iPhone Устройство, уязвимо за новооткрити и активно експлоатирани уязвимости в сигурността:
Новооткритите уязвимости в сигурността в операционната система Apple iOS позволяват на нападателя да удари дистанционно устройството на жертвата. Освен това недостатъците позволяват на нападателите да получат достъп до iOS устройство без действия на потребителя. Повечето атаки изискват някакво действие на потребителя, като щракване върху връзка, инсталиране на някакво приложение или отваряне на документ за започване на атаката. В този случай обаче нападателят може просто да изпраща имейли, които консумират значително количество памет и да получават възможности за дистанционно изпълнение на кода в устройството.
Day-Zero уязвимости и атаки;
Инциденти със сигурността https://t.co/KAez4d9890
- д-р Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) 22 април 2020 г.
Сериозното уязвимости в сигурността в iOS с нулево взаимодействие с потребителя са открити от охранителната фирма ZecOps. Изследователите от компанията твърдят, че нападателите вече използват тези уязвимости в дивата природа. Без да идентифицират целите, изследователите твърдят, че новооткритите недостатъци в сигурността са били успешно използвани за насочване към следните лица:
- Лица от организация на Fortune 500 в Северна Америка
- Изпълнителен директор от превозвач в Япония
- ВИП от Германия
- MSSP от Саудитска Арабия и Израел
- Журналист в Европа
- Заподозрян: изпълнителен директор от швейцарско предприятие
iOS е операционна система с напълно затворен код, проектирана и разработена от Apple. Той е строго контролиран и регулиран. ОС не е толкова отворена, колкото Google Android. Последната итерация на iOS е iOS 13. Въпреки това всички устройства с iOS 6 и по-нови са засегнати от тези недостатъци в сигурността. Изследователите по сигурността, разследващи уязвимостите, подчертаха начините, по които атакуващите могат да компрометират Apple iOS, работещ под iPhone. В последните версии на iOS атаката може да бъде извършена по следните начини:
- Атака върху iOS 13: Непомощни (/ нулеви кликвания) атаки върху iOS 13, когато приложението Mail се отваря във фонов режим
- Атака на iOS 12: Атаката изисква кликване върху имейла. Атаката ще бъде задействана преди изобразяване на съдържанието. Потребителят няма да забележи нищо аномално в самия имейл
- Непомощни атаки на iOS 12 могат да се задействат (известни още като нулево щракване), ако нападателят контролира пощенския сървър
Изследователите откриват двойка уязвимости в сигурността в приложението iOS Mail, Apple работи върху кръпка https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- Phone i Phone Doctor (@Mr_iPhoneDoctor) 22 април 2020 г.
Apple ще поправи уязвимости в сигурността при предстояща актуализация:
Изследователите твърдят, че Apple е наясно с тези недостатъци в сигурността в iOS. Те добавиха, че се очаква Apple да пусне допълнителна актуализация за iOS, която ще включва корекция, която ще коригира уязвимостите. Докато обаче Apple не пусне актуализация, има начин да избегнете да бъдете насочени или да станете жертва на грешките в сигурността.
Две уязвимости от нулев ден, засягащи устройствата на iPhone и iPad, бяха открити от стартиращия софтуер за киберсигурност ZecOps след откриването на поредица от текущи отдалечени атаки, насочени към iO ... чрез @BleepinComputer #сигурност #tech # СрядаМъдрост https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22 април 2020 г.
Изследователите съветват напълно да избягвате приложението Apple Mail. Това е платформата за електронна поща, която е проектирана, разработена и поддържана от Apple. Между другото, пощенското приложение поддържа имейл акаунти на трети страни като Gmail, Outlook и т.н. Следователно, докато Apple не пусне актуализация за отстраняване на грешките, потребителите могат да зависят от приложението Microsoft Outlook или други подобни имейл клиенти.
[Актуализация] Съобщава се, че Apple пусна актуализация, за да коригира двете уязвимости в сигурността в приложението Apple Mail.
Етикети ябълкаApple закърпва две уязвимости на сигурността, засягащи приложението Mail в iOS 13.4.5 Beta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 22 април 2020 г.
