В операционной системе iOS была обнаружена уязвимость, которая позволяет злоумышленникам совершать хакерские атаки на iPhone с помощью базового приложения электронной почты, сообщает Mashable со ссылкой на исследовании ИБ-компании ZecOps. Особенностью этой ошибки в коде ОС стал возможный вектор атаки мошенников, при котором пользователю даже не требуется открывать зараженное письмо — взлом может произойти без ведома владельца устройства.
По данным ZecOps, обнаруженная уязвимость «уже широко эксплуатируется преступниками».
Сообщается, что ошибка присутствует во всех версиях iOS, начиная с шестой, но пользователи смартфонов с iOS 13 считаются особенно уязвимыми — именно на этих гаджетах открытие письма не является обязательным условием для успешного завершения атаки.
В приложении «Почта» в iOS есть ошибка, которая позволяет злоумышленнику запускать код на устройстве жертвы, если пользователь получит специальное электронное письмо, подтвердил «Газете.Ru» старший инженер-программист Avast Войтех Бочек.
«Из-за других настроек безопасности iOS код может повлиять только на само приложение почты, поэтому вы можете читать, удалять и пересылать электронные письма, хранящиеся в приложении. Тем не менее, злоумышленник может использовать другую уязвимость, чтобы получить контроль над всем устройством, и исследователи из ZecOps считают, что были попытки сделать именно это. На устройствах с iOS 13, если злоумышленник сделал все правильно, пользователь даже не заметит эту атаку — он может только отметить, что приложение работает немного медленнее, чем обычно», — пояснил эксперт.
По словам Бочека, вряд ли эта атака может быть автоматически развернута на большом количестве устройств. Но при этом могут быть выполнены таргетированные атаки, нацеленные на известных людей.
«Вряд ли эта уязвимость повлияет на среднестатистического пользователя iOS, но обеспокоенные пользователи могут использовать другое почтовое приложение, пока не появится нужный патч», — заявил Бочек.
Дмитрий Пятунин, директор по ИТ компании Oberon, настроен более пессимистично — по его словам, найденная уязвимость может представлять серьезную опасность из-за большого количества пользователей со смартфонами на базе iOS.
«Гаджеты на базе iOS входят в число наиболее популярных у пользователей. Согласно статистике, число iPhone в мире составляет более 1,5 млрд, более 75% из них работают на версии операционной системы iOS 13. Атака на устройство происходит довольно просто: злоумышленник отсылает на электронную почту жертвы сообщение с «тяжелым» вложением, в котором содержится исполняемый вредоносный код. Письмо обязательно должно занять существенный объем памяти iPhone. Ввиду особенности iOS 13, где письма и вложения во встроенном e-mail-клиенте загружаются на устройства автоматически (до открытия письма вручную, в отличие от iOS 12), получение такого сообщения потенциально грозит перехватом управления устройством злоумышленником.
И фактически уязвимыми становятся все iPhone, использующие iOS 13, – сотни миллионов мобильных устройств», — предупредил собеседник «Газеты.Ru».
В Apple подтвердили Mashable, что уязвимость, о которой идет речь, была исправлена в бета-версии iOS 13.4.5. В скором времени патч будет доступен всем пользователям iPhone.