Apple iOS, el sistema operatiu que funciona amb iPhones, és vulnerable a múltiples vulnerabilitats de seguretat noves. És preocupant notar que els defectes no necessiten cap interacció de l'usuari. Segons els informes, les vulnerabilitats de seguretat es poden executar completament sense que l'usuari hagi de fer cap acció, fer clic a cap enllaç, descarregar cap aplicació, etc. no és la primera vegada que es descobreixen defectes tan greus a l’iOS .
Avui s'han revelat dues noves vulnerabilitats de seguretat greus dins del sistema operatiu Apple iOS. Pel que sembla, aquests defectes a iOS poden permetre als atacants accedir a un dispositiu iPhone amb iOS sense cap acció de l'usuari. El que és més important, l'atac executat remotament també pot permetre l'execució remota de codis (RCE), que pot incloure el control administratiu de l'iPhone de la víctima. Tot i que encara no s’ha confirmat oficialment, les vulnerabilitats de seguretat recentment descobertes s’estan explotant en llibertat. Pel que sembla, Apple és conscient dels defectes de seguretat i s’espera que publiqui una actualització per corregir-los.
El dispositiu Apple iOS 6 superior a l'iPhone és vulnerable a les vulnerabilitats de seguretat recentment descobertes i explotades activament:
Les vulnerabilitats de seguretat recentment descobertes al sistema operatiu Apple iOS permeten a un atacant atacar remotament el dispositiu de la víctima. A més, els defectes permeten als atacants accedir a un dispositiu iOS sense cap acció de l'usuari. La majoria dels atacs requereixen alguna acció de l'usuari com fer clic en un enllaç, instal·lar alguna aplicació o obrir un document perquè comenci l'atac. No obstant això, en aquest cas, l'atacant només pot enviar correus electrònics que consumeixen una quantitat important de memòria i obtenir funcions d'execució de codi remot al dispositiu.
Vulnerabilitats i atacs Day-Zero;
Incidents de seguretat https://t.co/KAez4d9890
- Dr. Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) 22 d’abril de 2020
El greu vulnerabilitats de seguretat dins iOS sense interacció de l'usuari van ser descoberts per la firma de seguretat ZecOps. Els investigadors de la companyia afirmen que els atacants ja utilitzen aquestes vulnerabilitats en llibertat. Sense identificar els objectius, els investigadors van afirmar que els defectes de seguretat recentment descoberts s’han utilitzat amb èxit per dirigir-se a les persones següents:
- Persones d'una organització Fortune 500 a Amèrica del Nord
- Un executiu d’una companyia aèria al Japó
- Un VIP d'Alemanya
- MSSP d'Aràbia Saudita i Israel
- Un periodista a Europa
- Sospità: executiu d’una empresa suïssa
iOS és un sistema operatiu de font completament tancat dissenyat i desenvolupat per Apple. Està estrictament controlat i regulat. El sistema operatiu no és tan obert com Google Android. La darrera versió de iOS és iOS 13. Tot i això, tots els dispositius amb iOS 6 i versions posteriors es veuen afectats per aquests defectes de seguretat. Investigadors de seguretat que investiguen les vulnerabilitats han posat de manifest les formes en què els atacants poden comprometre un Apple iOS amb iPhone. En les versions recents d'iOS, l'atac es pot dur a terme de la següent manera:
- Atac a iOS 13: atacs sense ajuda (/ clic zero) a iOS 13 quan s’obre l’aplicació de correu en segon pla
- Atac a iOS 12: l'atac requereix un clic al correu electrònic. L'atac es desencadenarà abans de representar el contingut. L’usuari no notarà res anormal al propi correu electrònic
- Es poden activar atacs sense assistència a iOS 12 (també conegut com a clic zero) si l'atacant controla el servidor de correu
Els investigadors descobreixen un parell de vulnerabilitats de seguretat a l'aplicació iOS Mail, Apple està treballant en un pedaç https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- Doctor i Phone Doctor (@Mr_iPhoneDoctor) 22 d’abril de 2020
Apple detectarà vulnerabilitats de seguretat en la propera actualització:
Els investigadors afirmen que Apple és conscient d’aquests defectes de seguretat a iOS. Van afegir que s'espera que Apple llanci una actualització incremental a iOS, que inclourà una solució que corregirà les vulnerabilitats. No obstant això, fins que Apple no publiqui una actualització, hi ha una manera d'evitar ser objectiu o ser víctima dels errors de seguretat.
Dues vulnerabilitats de zero dies que afecten els dispositius iPhone i iPad van ser trobades per l’inici de ciberseguretat ZecOps després del descobriment d’una sèrie d’atacs remots en curs que s’han dirigit a iO ... a través de @BleepinComputer #seguretat #tech #WednesdayWisdom https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22 d’abril de 2020
Els investigadors aconsellen evitar completament l'aplicació Apple Mail. És la plataforma de correu electrònic dissenyada, desenvolupada i mantinguda per Apple. Per cert, l'aplicació de correu electrònic admet comptes de correu electrònic de tercers com Gmail, Outlook, etc. Per tant, fins que Apple no publiqui una actualització per solucionar els errors, els usuaris poden dependre de l'aplicació Microsoft Outlook o d'altres clients de correu electrònic similars.
[Actualització] Segons els informes, Apple ha publicat una actualització per corregir les dues vulnerabilitats de seguretat de l’aplicació Apple Mail.
Etiquetes pomaApple pega dues vulnerabilitats de seguretat que afecten l'aplicació de correu a iOS 13.4.5 Beta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 22 d’abril de 2020
