Jump to content
  • Pesquisadores revelam 0-days no iOS


    Bruna Chieco

    Pesquisadores da ZecOps anunciaram que clientes foram alvo de dois exploits 0-day para iOS no ano passado. Segundo relatório da empresa, as vulnerabilidades encontradas em iPhones permitem execução remota de código e um invasor pode infectar remotamente um dispositivo enviando e-mails que consomem uma quantidade significativa de memória.

    O escopo do ataque consiste em enviar um e-mail especialmente criado (ou seja, falso) para a caixa de correio da vítima, permitindo que ela ative a vulnerabilidade por meio do aplicativo Mail (nativo) no iOS 12 ou no iOS 13. A vulnerabilidade não requer necessariamente um e-mail grande para consumir RAM. Segundo a ZecOps, a vulnerabilidade de estouro na heap também está sendo explorada. Além disso, a falha pode ser acionada antes do download de todo o e-mail, portanto, o conteúdo não permanece necessariamente no dispositivo.

    Os ataques no iOS 13 são não assistidos (ou seja, requerem zero cliques) quando o aplicativo Mail é aberto em segundo plano. Já no iOS 12, o ataque requer um clique no e-mail e será acionado antes da renderização do conteúdo, fazendo com que o usuário não note nada de anormal no próprio e-mail. Ataques não assistidos no iOS 12 podem ser acionados se o invasor controlar o servidor de e-mail. A ZecOps diz ainda que as vulnerabilidades existem pelo menos desde o iOS 6.

    Segundo a ZecOps, os alvos desse ataque foram indivíduos de uma organização da Fortune 500 na América do Norte; um executivo de uma transportadora no Japão; um VIP da Alemanha; MSSPs da Arábia Saudita e Israel; um jornalista na Europa; e há ainda um possível ataque a um executivo de uma empresa suíça.

    A empresa informa ainda que todas as versões testadas do iOS são vulneráveis, incluindo o iOS 13.4.1. "Com base em nossos dados, esses erros foram verificados no iOS 11.2.2 e, potencialmente, em versões anteriores. Os sistemas iOS 6 para cima também são vulneráveis. As versões anteriores ao iOS 6 podem estar vulneráveis, mas não foram verificadas", disse a ZecOps. A Apple corrigiu as vulnerabilidades no iOS 13.4.5 beta.



    User Feedback

    Recommended Comments



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...