Aktywnie wykorzystywany 0day na iPhony / iPady – można zwykłym mailem zainfekować telefon ofiary (często bez żadnej interakcji). Podatność istnieje od 2012 roku!

Ze szczegółami można zapoznać się na blogu Zecops. W najnowszym systemie iOS (13.x) exploitacja następuje nawet wtedy gdy aktywnie nie używamy wbudowanej aplikacji do poczty elektronicznej – wystarczy że jest ona uruchomiona w tle. W poprzedniej wersji systemu (12.x) – wystarczy zaledwie otworzyć odpowiednio spreparowanego maila (choć też nie ma konieczności ściągania go w całości…). Istota podatności? Proszę:

Podatność umożliwia zdalne wykonanie kodu na urządzeniu oraz infekcję telefonu poprzez wysyłkę maili których procesowanie zabiera znaczną ilość pamięci operacyjnej

The vulnerability allows remote code execution capabilities and enables an attacker to remotely infect a device by sending emails that consume significant amount of memory

Badacze donoszą, że bug istnieje od 2012 roku (iOS 6) i dotyczy wbudowanej aplikacji pocztowej w iOS. Pierwsze ataki zaobserwowano już w styczniu 2018 roku (!):

we surmise with high confidence that these vulnerabilities – in particular, the remote heap overflow – are widely exploited in the wild in targeted attacks by an advanced threat operator(s).

Wg Zecops zainfekowani zostali:

• Wybrane osoby pracujące w firmach Fortune 500
• Osoby związane z bezpieczeństwem w Izraelu / Arabii Saudyjskiej
• VIP z Niemiec
• Dziennikarz z Europy
• …

W zauważonych atakach, napastnicy dodatkowo sprzątali po sobie – maile-exploity były kasowane z serwera.

Apple załatało podatność w iOS 13.4.5 beta – w obecnych, standardowych wersjach iOS nie ma łaty. Zanim Apple wypuści aktualizację zaleca się używanie innego klienta pocztowego niż ten wbudowany.

Co może osiągnąć atakujący? Na pewno mieć pełen dostęp do poczty oraz pewnych danych na telefonie. Aby uzyskać pełen dostęp (np. root) potrzebny jest kolejny exploit polegający na eskalacji uprawnień (nie jest wykluczone, że atakujący go wykorzystują).

–ms