Специалисты по кибербезопасности из компании ZecOps обнаружили несколько новых уязвимостей в программном обеспечении, использующемся на устройствах Apple, говорится в их блоге. Речь идёт об эксплойтах почтового клиента, позволяющих похищать данные с устройств.
Эти уязвимости ранее не были обнаружены Apple, что делает их ценными для злоумышленников. Исследователи из ZecOps говорят о высокой степени уверенности в том, что эксплойты широко используются киберпреступниками. По их словам, недоработки в ПО представляют опасность для пользователей устройств Apple на протяжении восьми последних лет — они присутствуют в приложении «Почта» как минимум начиная с iOS 6.
Специалисты утверждают, что жертвами злоумышленников из-за этих эксплойтов стали как минимум шесть человек. ZecOps не называет имена пострадавших, но уточняет, что среди них были руководитель сотового оператора из Японии и «люди из компании Fortune 500 в Северной Америке».
По словам специалистов, злоумышленники отправляли некое письмо с вредоносным кодом — при взаимодействии с ним жертва, сама того не подозревая, инициирует уязвимость в ПО. При этом в компании отмечают, что не смогли получить вредоносный код — исследователи утверждают, что преступники смогли дистанционно удалить сообщения на электронных почтах жертв. Уязвимость, однако, следует считать в теории весьма опасным, поскольку он не требует от жертвы скачивания каких-либо файлов или посещения вредоносных сайтов. Для инициирования эксплойта злоумышленникам лишь нужно, чтобы жертва открыла присланное ими письмо в приложении «Почта».
Как пишет The Verge, ZecOps не предоставляет каких-либо доказательств существования уязвимостей, из-за чего многие другие специалисты по кибербезопасности высказали сомнения в обоснованности претензий компании. Издание VentureBeat связалось с двумя независимыми исследователями — они сообщили, что считают сведения о существовании эксплойтов достоверными, однако пока не смогли проверить их, воссоздав результаты ZecOps. Как говорит бывший эксперт по кибербезопасности АНБ Патрик Уолд, публикация ZecOps «подтверждает то, что всегда было плохо хранимым секретом: злоумышленники при желании могут удалённо и незаметно заражать полностью работоспособные устройства Apple».
Специалисты рассказали, что начали поиск этих эксплойтов после того, как прошлым летом стало известно о подозрительных сбоях на iPhone летом 2019-го. ZecOps месяц назад уже передала данные Apple об этих уязвимостях; компания планирует исправить их в следующем обновлении iOS 13, при этом некоторые из эксплойтов не работают уже в новой бета-версии операционной системы, утверждают исследователи. В компании из Купертино отказались комментировать публикацию ZecOps. Сами исследователи лишь советуют либо установить бета-версию iOS, либо, если это невозможно, отказаться от использования приложения «Почта» в пользу Outlook и Gmail.
