Af Eskil Sørensen, 23/04/20
To 0-dagssårbarheder, der påvirker iPhone og iPad-enheder, er set udnyttet i angreb mod højtprofilerede mål i USA, Europa og Japan. Det skriver Bleeping Computer og en række andre medier.
Angrebet er foregået ved, at der er sendt en særligt udviklet email til offerets mailboks. Normalt kræver det interaktion fra en bruger, dvs. at der skal klikkes på en mail, for at enheden bliver hacket. Det ubehagelige er, at det på iOS13-enheder ikke kræver en aktiv handling fra brugeren for at blive ramt. Får en angriber held til sit forehavende kan han eller hun afvikle kode på de kompromitterede enheder, dvs. iPhone eller iPads, som igen muliggør adgang til mailboksen, hvor man så igen kan læse, ændre eller slette mails. På iOS12-enheder og ældre kan angrebet kun lykkes, hvis brugeren klikker på mailen.
Anbefalingen fra sikkerhedsfirmaet ZezOps, der har gjort fundet, er, at man undlader at bruge mail-applikationen på sin enhed, indtil den er opdateret. Apple har udsendt en betaversion af en opdatering til iOS13, mens andre versioner først senere bliver sikkerhedsrettet.
Stater står bag
ZecOps mener ifølge Bleeping Computer, at statsaktører har købt viden om udnyttelse af sårbarhederne fra en tredjepart, og at de med mindre modifikationer er blevet anvendt mod enkeltpersoner fra bl.a. en Fortune 500-organisation i USA, en VIP fra Tyskland, topleder i et japansk luftfartsselskab, en journalist i Europa m.fl.
Firmaet mener også, at flere må være blevet ramt, og at potentialet ved udnyttelse af sårbarheden er enormt.
Links:
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
https://securityaffairs.co/wordpress/102076/hacking/iphone-zero-days.html