Otkrivena opasna ranjivost aplikacije Apple Mail za iOS

Sve verzije mobilne aplikacije Apple Mail za iOS, od iOS-a 6 pa do posljednje inačice, imaju vrlo opasan sigurnosni propust koji omogućava preuzimanje kontrole nad uređajima, izvršavanje koda na daljinu i krađu podataka. Sve što napadači trebaju učiniti jest korisniku iPhone-a ili iPad-a poslati posebno priređenu e-mail poruku koja će zaraziti njegov uređaj – i to bez da korisnik uopće otvori navedeni e-mail, otkrili su sigurnosni stručnjaci kompanije ZecOps.

Navode i kako je riječ o dva zasebna propusta čije iskorištavanje je primijećeno u “divljini”, odnosno da ih nepoznati hakeri aktivno koriste za napade. Napad vjerojatno funkcionira tako da se žrtvi pošalje e-mail s ciljem hakiranja, on odradi svoje, tj. omogući izvršavanje malicioznog programa za krađu podataka ili kakvu drugu neželjenu radnju.

Riječ je o tzv. 0-click napadu koji u većini slučajeva ne zahtijeva interakciju s korisnikom, odnosno nije potreban njegov klik na zaraženi link ili privitak e-maila kako bi se napad inicirao. Nakon napada, hakeri uspijevaju čak i izbrisati prvotni mail kako bi prikrili svoje tragove.

U slučaju da je napad uspio, hakeri mogu pristupiti svim podacima iz aplikacije Mail, a potom i ostalim podacima na uređaju zbog ranjivosti samog kernela.

Ovim propustom pogođena je isključivo Apple-ova defaultna aplikacija Mail, i to u svim dosadašnjim inačicama, još od rujna 2012. godine na ovamo.

Zakrpa još uvijek ne postoji, pa ekipa koja je otkrila ovu ranjivost kao preporuku – prije nego Apple riješi sigurnosni problem – preporučuje deaktiviranje aplikacije Mail. Kao zamjenska rješenja ističu Microsoftov Outlook ili Gmail, koji nisu pogođeni istim problemom i nisu podložni ovom načinu hakiranja. MacOS je također siguran u ovom trenutku.

Jedan od pokazatelja da bi uređaj mogao biti metom ovakvog (neuspješnog) napada jest pojavljivanje e-mail poruke u inboxu koju iPhone ili iPad ne može pročitati.

Apple se za sada nije službeno oglasio po ovom pitanju.

 

Izvor: https://www.bug.hr/