iPhone, falha grave no App Mail do iOS 6: Apple já está trabalhando na correção

A ZecOps, uma empresa de cibersegurança de São Francisco, anunciou que identificou duas vulnerabilidades no aplicativo Mail presentes pelo menos no iOS 6. Os primeiros ataques, no entanto, teriam sido realizados em janeiro de 2018. A vulnerabilidade é explorada enviando um email que consome uma enorme quantidade de memória RAM e permite que você execute o ataque remotamente.

No iOS 13, a interven√ß√£o do usu√°rio nem √© necess√°ria. Enquanto nas vers√Ķes anteriores, o usu√°rio deve pelo menos abrir o email recebido. Se o invasor verificar o servidor de email, o ataque tamb√©m poder√° ser realizado sem clicar no iOS 12. O relat√≥rio explica que a explora√ß√£o bem-sucedida dessa vulnerabilidade permitiria ao invasor se apossar do e-mail do usu√°rio, para fazer altera√ß√Ķes e excluir conte√ļdo. Os pesquisadores suspeitam que os hackers tenham uma vulnerabilidade adicional no kernel que forneceria acesso total ao dispositivo.

As mensagens que desencadearam o ataque não foram encontradas nos iPhones dos alvos alvo, explicam os pesquisadores. Isso nos leva a pensar que os hackers tiveram o cuidado de eliminar todos os vestígios após o sucesso da operação. No caso de um ataque, os proprietários de dispositivos não devem notar nenhuma anomalia específica, exceto por uma desaceleração temporária do aplicativo Mail ou um desligamento repentino.

Os ataques teriam sido conduzida em detrimento de personagens de destaque incluindo indiv√≠duos de uma organiza√ß√£o norte-americana na lista da Fortune 500, gerentes de servi√ßos de seguran√ßa gerenciados pela Ar√°bia Saudita e Israel e um jornalista europeu. Como j√° mencionado, todas as vers√Ķes testadas do iOS (a partir do iOS 6) estavam vulner√°veis, incluindo o OS 13.4.1.

De qualquer forma, a Apple já começou a trabalhar para corrigir a vulnerabilidade. A correção está incluída na versão beta do iOS 13.4.5, que será lançada em breve como uma versão estável. Enquanto isso, o ZecOps recomenda o uso de aplicativos de correio alternativos.

Atualização 24/04/2020 09:17

A Apple divulgou uma declaração oficial sobre o assunto, especificando que Рembora as vulnerabilidades descobertas pelo ZecOps estejam realmente presentes Рnão há evidências de que foi usado contra alguns usuários e que eles não representam um risco imediato para os usuários. Abaixo está a declaração:

A Apple leva a s√©rio todos os relat√≥rios de amea√ßas √† seguran√ßa. Pesquisamos minuciosamente o relat√≥rio do pesquisador e, com base nas informa√ß√Ķes fornecidas, conclu√≠mos que esses problemas n√£o representam um risco imediato para nossos usu√°rios. O pesquisador identificou tr√™s problemas no Mail, mas eles n√£o s√£o suficientes para contornar as prote√ß√Ķes de seguran√ßa do iPhone e do iPad e n√£o encontramos evid√™ncias de que tenham sido usados ‚Äč‚Äčcontra usu√°rios. Esses poss√≠veis problemas em breve ser√£o resolvidos em uma atualiza√ß√£o de software. Agradecemos nossa colabora√ß√£o com pesquisadores de seguran√ßa que nos ajudam a proteger nossos usu√°rios e agradecemos por sua assist√™ncia.