Bug em iPhones deixa emails vulneráveis a hackers, diz empresa de segurança

Um bug recém-descoberto no aplicativo Mail para iPhones pode permitir que um invasor leia, modifique e exclua e-mails, dizem os pesquisadores.

A Apple diz que corrigirá a vulnerabilidade na próxima versão do iOS, 13.4.5, e que os usuários do software beta já estão protegidos. Mas até que essa atualização seja disponibilizada ao público em geral, todos os outros usuários do iPhone estarão vulneráveis ​​ao ataque, que pode ser usado para roubar o conteúdo dos emails.

O bug é particularmente grave por várias razões, de acordo com a empresa de segurança ZecOps, que publicou detalhes de suas descobertas nesta semana: não há nenhuma correção pública para a falha, que afeta todas as versões do iOS a partir de 6; pode ser explorado na versão mais recente do iOS sem nenhuma interação do usuário; e já foi descoberto em uso por atacantes do mundo real, desde janeiro de 2018.

Até que a vulnerabilidade seja corrigida, o ZecOps recomenda que os usuários “considerem desabilitar o aplicativo Mail e usem o Outlook ou o Gmail”.

O ataque funciona enviando e-mails especialmente criados que inundam a memória de um dispositivo, permitindo que o invasor interrompa as proteções que a Apple normalmente coloca para impedir que o Mail execute acidentalmente código malicioso.

Ele contém limitações suficientes para impedir que seja amplamente explorado, de acordo com Jake Moore, especialista em segurança cibernética da empresa de segurança na Internet Eset. Cada e-mail precisa ser criado especificamente para um único alvo, em vez de um “hack de massa” que afeta milhares de pessoas, disse ele.

“É um pouco desconcertante a facilidade com que parece ter sido exfiltrado remotamente dados privados de dispositivos Apple”, disse ele.

Para aqueles que podem ser deliberadamente direcionados por hackers, no entanto, o risco não é meramente teórico. Examinando seus registros de tráfego de e-mail, os pesquisadores de segurança dizem ter encontrado pelo menos seis instâncias quando acreditam que o bug foi explorado ativamente, com alvos incluindo um jornalista europeu, um VIP alemão e indivíduos de uma organização da Fortune 500 no norte América”.

Como o invasor ganha a capacidade de excluir e-mails, também pode excluir o e-mail que enviou para acionar a exploração em primeiro lugar, cobrindo efetivamente suas trilhas.

O ZecOps disse acreditar que os ataques foram realizados por “pelo menos um operador de ameaça do Estado-nação”, mas se recusou a identificar qualquer país.

Satnam Narang, principal engenheiro de pesquisa da empresa de segurança cibernética Tenable, disse que as falhas são “significativas e dignas de nota”. “Enquanto a Apple emitiu correções para essas falhas na versão beta do iOS 13.4.5, os dispositivos ainda estão vulneráveis ​​até que a versão final do iOS 13.4.5 esteja prontamente disponível para todos os proprietários de dispositivos iOS”, disse ele.

“Enquanto isso, a única atenuação dessas falhas é desativar as contas de e-mail conectadas ao aplicativo iOS Mail e usar um aplicativo alternativo, como o Microsoft Outlook ou o Gmail do Google”.

A Apple se recusou a comentar.

Fonte: Guardian // Créditos da imagem: Alamy

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.