Expert na kybernetickou bezpečnost objevil zranitelnost, která se týká aplikace Mail v systému iOS a ohrožuje uživatelská data
Emailový klient společnosti Apple, aplikace Mail, je nebezpečný, protože obsahuje závažnou zranitelnost. A to už velmi dlouho: od vydání iOS 6 v roce 2012. Zjistila to kyberbezpečnostní firma ZecOps, která se také domnívá, že zranitelnost již byla nejméně jednou zneužita.
Při zneužití této zranitelnosti může hacker spustit na zařízení škodlivý kód (tj. malware nebo virus), a to v některých případech i bez toho, aby uživatel musel kliknout na jakýkoli odkaz nebo stáhnout soubor: jde o chybu v aplikaci Mail a systému iOS, kterou lze zneužít odesláním běžného e-mailu oběti. ZecOps vysvětluje, že problém spočívá v tom, že zařízení se systémem iOS 13 jsou ještě snadněji napadnutelná než zařízení se systémem iOS 12 nebo starším. První skutečný případ útoku využívajícího tuto zranitelnost se podle společnosti Electronic Security objevil v lednu 2018, kdy bylo napadeno zařízení s iOS 11.2.2. Řešení? Žádná není: Apple zatím nevydal záplatu pro operační systém ani aplikaci Mail, která by chybu odstranila.
Proč je aplikace Mail nebezpečná
Zranitelnost objevená společností ZecOps spočívá v chybě, která hackerovi umožňuje vzdáleně spustit kód, pokud potenciální oběti odešle e-mail, který spotřebuje velké množství paměti RAM. Není třeba, aby byla zpráva velká, ale stačí, aby byl e-mail zabalen způsobem, který výrazně zvýší spotřebu paměti. Jakmile je toho dosaženo, začne se zranitelnost projevovat, ale ZecOps ji podrobně nepopsal, aby měl Apple čas chybu odstranit.
Není třeba klikat
Zranitelnost může být spuštěna ještě před stažením celého e-mailu, takže jeho obsah nemusí nutně zůstat v zařízení, a proto po něm nemusí zůstat ani stopa. Je možné, že takových útoků bylo mnoho, aniž by si toho někdo všiml. Je to také proto, že v systému iOS 13 nemusí uživatel klikat na žádné odkazy ani stahovat přiložené soubory. V systému iOS 12 nebo starším je však nutná akce uživatele. V každém případě útok začíná ještě předtím, než zařízení zobrazí e-mailovou zprávu. Vzhledem k tomu, že na tuto zranitelnost zatím neexistuje záplata, doporučuje společnost ZecOps všem uživatelům společnosti Apple, aby aplikaci Mail nepoužívali a dočasně ji nahradili jinou.