Pesquisadores da ZecOps anunciaram que clientes foram alvo de dois exploits 0-day para iOS no ano passado. Segundo relatório da empresa, as vulnerabilidades encontradas em iPhones permitem execução remota de código e um invasor pode infectar remotamente um dispositivo enviando e-mails que consomem uma quantidade significativa de memória.
O escopo do ataque consiste em enviar um e-mail especialmente criado (ou seja, falso) para a caixa de correio da vítima, permitindo que ela ative a vulnerabilidade por meio do aplicativo Mail (nativo) no iOS 12 ou no iOS 13. A vulnerabilidade não requer necessariamente um e-mail grande para consumir RAM. Segundo a ZecOps, a vulnerabilidade de estouro na heap também está sendo explorada. Além disso, a falha pode ser acionada antes do download de todo o e-mail, portanto, o conteúdo não permanece necessariamente no dispositivo.
Os ataques no iOS 13 são não assistidos (ou seja, requerem zero cliques) quando o aplicativo Mail é aberto em segundo plano. Já no iOS 12, o ataque requer um clique no e-mail e será acionado antes da renderização do conteúdo, fazendo com que o usuário não note nada de anormal no próprio e-mail. Ataques não assistidos no iOS 12 podem ser acionados se o invasor controlar o servidor de e-mail. A ZecOps diz ainda que as vulnerabilidades existem pelo menos desde o iOS 6.
Segundo a ZecOps, os alvos desse ataque foram indivíduos de uma organização da Fortune 500 na América do Norte; um executivo de uma transportadora no Japão; um VIP da Alemanha; MSSPs da Arábia Saudita e Israel; um jornalista na Europa; e há ainda um possível ataque a um executivo de uma empresa suíça.
A empresa informa ainda que todas as versões testadas do iOS são vulneráveis, incluindo o iOS 13.4.1. "Com base em nossos dados, esses erros foram verificados no iOS 11.2.2 e, potencialmente, em versões anteriores. Os sistemas iOS 6 para cima também são vulneráveis. As versões anteriores ao iOS 6 podem estar vulneráveis, mas não foram verificadas", disse a ZecOps. A Apple corrigiu as vulnerabilidades no iOS 13.4.5 beta.
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.