Apple iOS, o sistema operacional executado em iPhones, é vulnerável a várias novas vulnerabilidades de segurança. É preocupante notar que as falhas não precisam de interação do usuário. As vulnerabilidades de segurança podem ser executadas inteiramente, sem que o usuário precise realizar qualquer ação, clicar em qualquer link, baixar qualquer aplicativo, etc. A propósito, esta não é a primeira vez que falhas tão sérias no iOS são descobertas .
Duas novas vulnerabilidades de segurança sérias dentro do sistema operacional Apple iOS foram reveladas hoje. Aparentemente, essas falhas no iOS permitem que os invasores tenham acesso a um dispositivo iPhone com iOS sem qualquer ação do usuário. Mais importante ainda, o ataque executado remotamente também pode permitir a execução remota de código (RCE), que pode incluir o controle administrativo do iPhone da vítima. Embora ainda não tenham sido oficialmente corroboradas, as vulnerabilidades de segurança recém-descobertas estão sendo exploradas à solta. Aparentemente, a Apple está ciente das falhas de segurança e deve lançar uma atualização para corrigir o mesmo.
Dispositivo Apple iOS 6 acima do iPhone vulnerável a vulnerabilidades de segurança recentemente descobertas e ativamente exploradas:
As vulnerabilidades de segurança recém-descobertas no sistema operacional Apple iOS permitem que um invasor atinja remotamente o dispositivo da vítima. Além disso, as falhas permitem que os invasores obtenham acesso a um dispositivo iOS sem qualquer ação do usuário. A maioria dos ataques exige alguma ação do usuário, como clicar em um link, instalar algum aplicativo ou abrir um documento para que o ataque comece. No entanto, neste caso, o invasor pode apenas enviar e-mails que consomem uma quantidade significativa de memória e obter recursos de execução remota de código no dispositivo.
Vulnerabilidades e ataques de dia zero;
Incidentes de segurança https://t.co/KAez4d9890
- Dr. Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) 22 de abril de 2020
O sério vulnerabilidades de segurança dentro do iOS sem interação do usuário foram descobertos pela empresa de segurança ZecOps. Os pesquisadores da empresa afirmam que os invasores já estão usando essas vulnerabilidades em liberdade. Sem identificar os alvos, os pesquisadores afirmaram que as falhas de segurança recém-descobertas foram usadas com sucesso para atingir os seguintes indivíduos:
- Indivíduos de uma organização Fortune 500 na América do Norte
- Um executivo de uma operadora no Japão
- Um VIP da Alemanha
- MSSPs da Arábia Saudita e Israel
- Um jornalista na Europa
- Suspeito: um executivo de uma empresa suíça
iOS é um sistema operacional de código-fonte totalmente fechado projetado e desenvolvido pela Apple. É estritamente controlado e regulamentado. O sistema operacional não é tão aberto quanto o Google Android. A última iteração do iOS é o iOS 13. No entanto, todos os dispositivos que executam o iOS 6 e superior são afetados por essas falhas de segurança. Os pesquisadores de segurança que investigam as vulnerabilidades destacaram as maneiras como os invasores podem comprometer um Apple iOS executando um iPhone. Nas versões recentes do iOS, o ataque pode ser realizado das seguintes maneiras:
- Ataque no iOS 13: ataques não assistidos (/ clique zero) no iOS 13 quando o aplicativo Mail é aberto em segundo plano
- Ataque no iOS 12: O ataque requer um clique no e-mail. O ataque será acionado antes de renderizar o conteúdo. O usuário não notará nada de anômalo no próprio e-mail
- Ataques não assistidos no iOS 12 podem ser disparados (também conhecido como zero-click) se o invasor controlar o servidor de e-mail
Os pesquisadores descobrem um par de vulnerabilidades de segurança no aplicativo iOS Mail, a Apple está trabalhando em um patch https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- i Phone Doctor (@Mr_iPhoneDoctor) 22 de abril de 2020
A Apple corrigirá vulnerabilidades de segurança na próxima atualização:
Os pesquisadores afirmam que a Apple está ciente dessas falhas de segurança no iOS. Eles acrescentaram que a Apple deve lançar uma atualização incremental para o iOS que incluirá uma correção que corrigirá as vulnerabilidades. No entanto, até que a Apple lance uma atualização, há uma maneira de evitar ser alvo ou se tornar uma vítima de bugs de segurança.
Duas vulnerabilidades de dia zero que afetam os dispositivos iPhone e iPad foram encontradas pela startup de segurança cibernética ZecOps após a descoberta de uma série de ataques remotos em andamento que têm como alvo o iO ... via @BleepinComputer #segurança #tech #Wed WednesdayWisdom https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22 de abril de 2020
Os pesquisadores aconselham evitar completamente o aplicativo Apple Mail. É a plataforma de e-mail projetada, desenvolvida e mantida pela Apple. A propósito, o aplicativo de e-mail oferece suporte a contas de e-mail de terceiros, como Gmail, Outlook, etc. Portanto, até que a Apple lance uma atualização para corrigir os bugs, os usuários podem depender do aplicativo Microsoft Outlook ou de outros clientes de e-mail semelhantes.
[Atualizar] A Apple divulgou uma atualização para corrigir as duas vulnerabilidades de segurança do aplicativo Apple Mail.
Tag maçãA Apple corrige duas vulnerabilidades de segurança que afetam o aplicativo Mail no iOS 13.4.5 Beta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 22 de abril de 2020