Παρόλο που η Apple είναι μία από τις εταιρείες που πάντα τονίζει την σημασία που δίνει στην ασφάλεια των χρηστών, δύο νέες ευπάθειες zero-day που ανακαλύφθηκαν στην ενσωματωμένη εφαρμογή ηλεκτρονικού ταχυδρομείου θέτει σε κίνδυνο περισσότερες από 2 δισεκατομμύρια συσκευές iPhone και iPad.

Οι ευπάθειες που ανακάλυψαν οι ερευνητές ασφαλείας της ZecOps, εκμεταλλεύονται από hacker τα δύο τελευταία χρόνια τουλάχιστον, ώστε να κατασκοπεύουν τις συσκευές χρηστών υψηλού επιπέδου.

Το πρώτο είναι ένα out-of-bounds write bug, ενώ το δεύτερο ελάττωμα είναι ένα ζήτημα heap overflow σύμφωνα με την έκθεση των ερευνητών.

Για να μπορέσουν να εκμεταλλευτούν τις ευπάθειες, οι εισβολείς πρέπει να στείλουν ένα ειδικά διαμορφωμένο email, το οποίο καταναλώνει συγκεκριμένη ποσότητα μνήμης, αναγκάζοντας την εφαρμογή να σταματήσει να λειτουργεί. Με τον τρόπο αυτό οι εισβολείς μπορούν στη συνέχεια να χακάρουν τις συσκευές iOS και να πάρουν τον έλεγχό τους απομακρυσμένα.

Η δεύτερη ευπάθεια είναι μάλιστα zero-click, που σημαίνει ότι δεν χρειάζεται να κάνει κάτι ο χρήστης προκειμένου ο επιτιθέμενος να μπορέσει να την εκμεταλλευτεί. Ένα άλλο ανησυχητικό σημείο, είναι επίσης ότι οι χρήστες δεν έχουν καμία ένδειξη ότι οι συσκευές τους έχει πέσει θύματα επίθεσης.

Σύμφωνα με τους ερευνητές και οι δύο ευπάθειες που ανακάλυψαν, εντοπίζονται σε διάφορες συσκευές της Apple τα τελευταία 8 χρόνια και όπως φαίνεται επηρεάζουν και την τελευταία έκδοση του iOS 13.4.1 . Τα ελαττώματα έχουν εκμεταλλευτεί σε μεγάλο βαθμό από κακόβουλους παράγοντες που στοχεύουν VIP χρήστες όπως:

Υπαλλήλους εταιρειών Fortune 500 στη Βόρεια Αμερική

Ένα δημοσιογράφο στην Ευρώπη

Έναν VIP από τη Γερμανία

MSSP από τη Σαουδική Αραβία και το Ισραήλ

Ένα στέλεχος που εργάζεται στην εταιρεία μεταφορών της Ιαπωνίας

Ένα στέλεχος που εργάζεται σε ελβετική εταιρεία

Η εταιρεία ενημερώθηκε για την ύπαρξη των ευπαθειών και ετοιμάζει ήδη μία beta έκδοση που περιέχει μία επιδιόρθωση για τις συσκευές που επηρεάζονται, την οποία αναμένεται να παρουσιάσει για τους χρήστες της σταθερής έκδοσης στην επόμενη ενημέρωση iOS 13.4.5.