Apple iOS, operacijski sistem, ki deluje na telefonih iPhone, je ranljiv za številne nove varnostne ranljivosti. Zaskrbljujoče je omeniti, da pomanjkljivosti ne potrebujejo interakcije uporabnika. Varnostne ranljivosti naj bi lahko v celoti izvedli, ne da bi uporabnik kdaj izvedel kakršno koli dejanje, kliknil katero koli povezavo, prenesel katero koli aplikacijo itd. Mimogrede, to ni prvič, da so odkrili tako resne napake znotraj iOS-a .
Danes sta bili razkriti dve novi resni varnostni ranljivosti v operacijskem sistemu Apple iOS. Očitno te napake v iOS-u potencialno omogočajo napadalcem dostop do naprave iPhone, v kateri deluje iOS, brez kakršnega koli dejanja uporabnika. Še pomembneje pa je, da lahko daljinsko izveden napad omogoči tudi oddaljeno izvajanje kode (RCE), kar lahko vključuje administrativni nadzor nad žrtvinim iPhoneom. Čeprav še niso uradno potrjene, se novo odkrite varnostne ranljivosti izkoriščajo v naravi. Očitno se Apple zaveda varnostnih napak in naj bi izdal posodobitev, da bi popravil isto.
Apple iOS 6 Nad napravami iPhone, ranljive za novo odkrite in aktivno izkoriščene varnostne ranljivosti:
Novoodkrite varnostne ranljivosti v operacijskem sistemu Apple iOS omogočajo napadalcu, da na daljavo udari v žrtev napravo. Poleg tega napake omogočajo napadalcem dostop do naprave iOS brez kakršnega koli dejanja uporabnika. Večina napadov zahteva nekaj uporabniškega dejanja, na primer klik na povezavo, namestitev neke aplikacije ali odpiranje dokumenta, da se napad začne. Vendar lahko v tem primeru napadalec pošlje samo e-pošto, ki zavzame znatno količino pomnilnika, in v napravi dobi zmožnosti oddaljenega izvrševanja kode.
Day-Zero ranljivosti in napadi;
Varnostni incidenti https://t.co/KAez4d9890
- Dr. Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) 22. april 2020
Resno varnostne ranljivosti znotraj sistema iOS brez uporabniške interakcije jih je odkrilo varnostno podjetje ZecOps. Raziskovalci podjetja trdijo, da napadalci že uporabljajo te ranljivosti v naravi. Brez identifikacije ciljev so raziskovalci trdili, da so bile novoodkrite varnostne pomanjkljivosti uspešno uporabljene za ciljanje na naslednje posameznike:
- Posamezniki iz organizacije Fortune 500 iz Severne Amerike
- Izvršni direktor prevoznika na Japonskem
- VIP iz Nemčije
- MSSP iz Savdske Arabije in Izraela
- Novinar v Evropi
- Sum: izvršni direktor švicarskega podjetja
iOS je popolnoma zaprti operacijski sistem, ki ga je zasnoval in razvil Apple. Strogo je nadzorovan in urejen. OS ni tako odprt kot Google Android. Najnovejša ponovitev sistema iOS je iOS 13. Vendar pa vse varnostne napake vplivajo na vse naprave s sistemom iOS 6 in novejšimi. Varnostni raziskovalci, ki preiskujejo ranljivosti, so poudarili načine, kako lahko napadalci ogrozijo Apple iOS s sistemom iPhone. V najnovejših različicah iOS je napad mogoče izvesti na spodnji način:
- Napad na iOS 13: Napadi brez pomoči (/ z ničelnim klikom) na iOS 13, ko se aplikacija Mail odpre v ozadju
- Napad na iOS 12: Za napad je potreben klik na e-pošto. Napad se sproži pred upodabljanjem vsebine. Uporabnik v samem e-poštnem sporočilu ne bo opazil ničesar nenavadnega
- Če napadalca nadzoruje poštni strežnik, lahko sprožite nenapovedane napade na iOS 12 (tudi nič klik)
Raziskovalci odkrijejo par varnostnih ranljivosti v aplikaciji Mail za iOS, Apple dela na popravku https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- i Phone Doctor (@Mr_iPhoneDoctor) 22. april 2020
Apple bo v prihodnji posodobitvi popravil varnostne ranljivosti:
Raziskovalci trdijo, da se Apple zaveda teh varnostnih napak v iOS-u. Dodali so, da naj bi Apple izdal dodatno posodobitev za iOS, ki bo vsebovala popravek, ki bo odpravil ranljivosti. Dokler Apple ne izda posodobitve, obstaja način, da se izognete tarčam ali žrtvam varnostnih napak.
Zagon ZecOps za kibernetsko varnost je po odkritju niza tekočih oddaljenih napadov, ki so ciljali iO… prek @BleepinComputer #security #tech #WesnesdayWisdom https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22. april 2020
Raziskovalci svetujejo, da se popolnoma izogibate aplikaciji Apple Mail. To je platforma za pošiljanje e-pošte, ki jo načrtuje, razvija in vzdržuje Apple. Mimogrede, poštna aplikacija podpira e-poštne račune tretjih oseb, kot so Gmail, Outlook itd. Dokler Apple ne izda posodobitve za odpravljanje napak, so uporabniki lahko odvisni od aplikacije Microsoft Outlook ali drugih podobnih e-poštnih odjemalcev.
[Nadgradnja] Apple naj bi izdal posodobitev, s katero bo popravil dve varnostni ranljivosti v aplikaciji Apple Mail.
Oznake jabolkoApple popravi dve varnostni ranljivosti, ki vplivata na aplikacijo Mail v iOS 13.4.5 Beta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 22. april 2020
