Про це повідомляли експерти ZecOps.

За інформацією дослідників, експлуатація вразливості не потребує будь-якої взаємодії з користувачем, і зловмисникам досить просто відправити жертві шкідливого листа. Якщо користувач отримає пошту або відкриє Apple Mail, експлоїт спрацює. У той же час для Gmail і інших поштових клієнтів така атака неактуальна.

У своєму звіті експерти також вказували на те, що вразливість вже давно експлуатують хакери. Дослідниками було виявлено спроби атак на приватних осіб і компанії зі списку Fortune 500 в Північній Америці, керівництво японської компанії-перевізника, німецького постачальника послуг керованої безпеки, європейського журналіста тощо. При цьому зазначалося, що виявлені атаки підходили під “профіль” однієї відомої урядової хак-групи, але її назву не розголошували.

У свою чергу спеціалісти Apple зробили офіційну  заяву щодо звіту ZecOps. Інженери компанії пишуть, що ретельно вивчили інформацію про знайдені фахівцями проблеми і стверджують, що експерти помилилися – вразливості не використовувалися для атак на користувачів. При цьому сам факт існування проблем компанія не заперечує.

“Apple серйозно ставиться до будь-яких повідомлень про загрози безпеці. Ми ретельно вивчили звіт дослідників і, грунтуючись на надану інформацію, дійшли висновку, що ці проблеми не представляють безпосередньої ризику для наших користувачів. Дослідники виявили три проблеми в (Apple) Mail, але самі по собі вони не можуть використовуватися для обходу засобів захисту iPhone і iPad, і ми не знайшли доказів того, що вони застосовувалися проти наших клієнтів. Ці потенційні проблеми будуть усунені найближчим часом з оновленням ПЗ. Ми цінуємо участь ІБ-дослідників, які прагнуть допомогти забезпечити безпеку наших користувачів, і обов’язково висловимо їм подяку за допомогу і участь”, – заявили експерти Apple.

Опубліковані ZecOps заяви викликали сумніви також у ІБ-фахівців. Деякі експерти писали, що сумніваються в тому, що виявлені помилки могли використовуватися проти користувачів в реальному житті.

Дослідження ZecOps грунтувалося на crash-логах, виявлених на нібито постраждалих пристроях. Дані з цих логів були інтерпретовані як спроби експлуатувати баг і атакувати користувача. Зокрема, експерти ZecOps писали, що невдалі спроби атак залишали після себе порожні листи і crash-лог пристрої. Тоді як вдалі атаки нібито закінчувалися видаленням порожніх електронних листів, щоб приховати атаку від користувача.

У свою чергу ІБ-фахівці відзначали, що якби зловмисники видаляли порожні електронні листи для приховування слідів, швидше за все, вони видаляли б і crash-логи з постраждалих девайсів. Тому спеціалісти зробили висновок, що аналітики ZecOps знайшли “зіпсовані” електронні листи, що з’явилися через звичайний баг, а не зловмисні атаки на користувачів iOS. Нова заява Apple підтверджує ці висновки.

Варто відзначити, що 0-day (англ. zero day), Вразливість нульового дня — вразливість програмного забезпечення, яка ще невідома користувачам чи розробникам програмного забезпечення та проти яких ще не розроблені механізми захисту. Сам термін означає, що у розробників було 0 днів на виправлення дефекту: уразливість або атака стає публічно відомою до моменту випуску виробником ПО для виправлення помилок (тобто потенційно уразливість може експлуатуватися на робочих копіях програми без можливості захищатися від неї).

  • Хакери “злили” у Мережу документи Boeing, Lockheed Martin, SpaceX і Tesla