[Update] iOS Ernstige beveiligingsproblemen met nul gebruikersinteractie ontdekt als actief misbruikt in het wild in de Apple Mail-app
Apple iOS, het besturingssysteem dat op iPhones draait, is kwetsbaar voor meerdere nieuwe beveiligingsproblemen. Het is zorgwekkend om op te merken dat de gebreken geen gebruikersinteractie vereisen. De beveiligingsproblemen kunnen naar verluidt volledig worden uitgevoerd zonder dat de gebruiker ooit iets hoeft te doen, op een link hoeft te klikken, een app te downloaden, enz. dit is niet de eerste keer dat zulke ernstige tekortkomingen in iOS worden ontdekt.
Twee nieuwe ernstige beveiligingsproblemen in het Apple iOS-besturingssysteem zijn vandaag onthuld. Blijkbaar stellen deze fouten in iOS aanvallers in staat om toegang te krijgen tot een iOS-draaiend iPhone-apparaat zonder enige actie van de gebruiker. Wat nog belangrijker is, is dat de op afstand uitgevoerde aanval ook Remote Code Execution (RCE) mogelijk kan maken, waaronder mogelijk administratieve controle over de iPhone van het slachtoffer. Hoewel nog niet officieel bevestigd, worden de nieuw ontdekte beveiligingsproblemen in het wild uitgebuit. Blijkbaar is Apple op de hoogte van de beveiligingsfouten en zal naar verwachting een update uitbrengen om hetzelfde te patchen.
Apple iOS 6 Boven iPhone-apparaat kwetsbaar voor nieuw ontdekte en actief misbruikte beveiligingsproblemen:
Dankzij de nieuw ontdekte beveiligingsproblemen in het Apple iOS-besturingssysteem kan een aanvaller op afstand het apparaat van het slachtoffer aanvallen. Bovendien stellen de fouten aanvallers in staat om toegang te krijgen tot een iOS-apparaat zonder enige actie van de gebruiker. De meeste aanvallen vereisen enige actie van de gebruiker, zoals op een link klikken, een applicatie installeren of een document openen voordat de aanval kan beginnen. In dit geval kan de aanvaller echter alleen e-mails verzenden die een aanzienlijke hoeveelheid geheugen in beslag nemen en mogelijkheden krijgen om externe code op het apparaat uit te voeren.
De ernstige beveiligingsproblemen in iOS zonder gebruikersinteractie werden ontdekt door beveiligingsbedrijf ZecOps. De onderzoekers van het bedrijf beweren dat aanvallers deze kwetsbaarheden al in het wild gebruiken. Zonder de doelen te identificeren, beweerden de onderzoekers dat de nieuw ontdekte beveiligingsfouten met succes zijn gebruikt om de volgende personen te targeten:
- Personen van een Fortune 500-organisatie in Noord-Amerika
- Een manager van een luchtvaartmaatschappij in Japan
- Een VIP uit Duitsland
- MSSP's uit Saoedi-Arabië en Israël
- Een journalist in Europa
- Verdacht: een leidinggevende van een Zwitserse onderneming
iOS is een volledig gesloten-sourcebesturingssysteem dat is ontworpen en ontwikkeld door Apple. Het wordt strikt gecontroleerd en gereguleerd. Het besturingssysteem is niet zo open als Google Android. De nieuwste versie van iOS is iOS 13. Alle apparaten met iOS 6 en hoger hebben echter te maken met deze beveiligingslekken. Beveiligingsonderzoekers die de kwetsbaarheden hebben onderzocht, hebben gewezen op de manieren waarop aanvallers een Apple iOS met iPhone kunnen beschadigen. In de recente iOS-versies kan de aanval op de onderstaande manieren worden uitgevoerd:
- Aanval op iOS 13: aanvallen zonder hulp (/ nul klikken) op iOS 13 wanneer de e-mailtoepassing op de achtergrond wordt geopend
- Aanval op iOS 12: de aanval vereist een klik op de e-mail. De aanval wordt geactiveerd voordat de inhoud wordt weergegeven. De gebruiker merkt niets abnormaals in de e-mail zelf
- Aanvallen zonder hulp op iOS 12 kunnen worden geactiveerd (ook bekend als zero-click) als de aanvaller de mailserver beheert
Apple gaat beveiligingsproblemen patchen in aanstaande update:
Onderzoekers beweren dat Apple zich bewust is van deze beveiligingsfouten in iOS. Ze voegden eraan toe dat Apple naar verwachting een incrementele update voor iOS zal uitbrengen die een oplossing zal bevatten om de kwetsbaarheden te verhelpen. Maar totdat Apple een update vrijgeeft, is er een manier om te voorkomen dat u wordt aangevallen of het slachtoffer wordt van de beveiligingsbugs.
Onderzoekers adviseren om de Apple Mail-app volledig te vermijden. Het is het e-mailplatform dat is ontworpen, ontwikkeld en onderhouden door Apple. Overigens ondersteunt de mail-app e-mailaccounts van derden, zoals Gmail, Outlook, enz. Dus totdat Apple een update uitbrengt om de bugs op te lossen, kunnen gebruikers vertrouwen op de Microsoft Outlook-app of andere soortgelijke e-mailclients.
[Bijwerken]Apple heeft naar verluidt een update uitgebracht om de twee beveiligingsproblemen in de Apple Mail-app te verhelpen.