ZecOps, uma empresa forense de segurança móvel com sede em San Francisco, descobriu um par de vulnerabilidades de dia zero no aplicativo Mail do iPhone, iPads que os hackers estão abusando em liberdade, pelo menos, nos últimos dois anos para atingir indivíduos de vários indústrias e organizações.
Em um relatório publicado na quarta-feira, o ZecOps disse que encontrou evidências de que ambas as vulnerabilidades foram ativamente exploradas por um “operador avançado de ameaças” desde 2018.
De acordo com os pesquisadores, ambas as vulnerabilidades podem ser exploradas remotamente pelos atacantes, simplesmente enviando um e-mail para o aplicativo iOS Mail padrão das vítimas em seu iPhone ou iPad.
Ambas as falhas afetam principalmente o software do iPhone mais recente, iOS 13.4.1, embora ZecOps diga que a vulnerabilidade existe desde pelo menos o iOS 6, lançado em setembro de 2012.
“O escopo do ataque consiste em enviar um e-mail especialmente criado para a caixa de correio da vítima, permitindo que ela acione a vulnerabilidade no contexto do aplicativo iOS MobileMail no iOS 12 ou maild no iOS 13”, escreveram os pesquisadores.
Leia também – o bloqueio da impressão digital do iPhone pode ser contornado usando impressão digital impressa em 3D
Quando o usuário tentava abrir a mensagem de e-mail, o iPhone travava, permitindo que hackers entrassem no dispositivo, dando-lhes o a informações confidenciais. Em algumas versões do iOS, o hack pode ser acionado quando o aplicativo Mail baixa automaticamente os dados de uma mensagem, sem que o destinatário precise clicar em nada para que seus dispositivos sejam infectados.
Os bugs em questão são falhas de execução remota de código que residem na biblioteca MIME do Appleaplicativo de e-mail de.
A primeira vulnerabilidade é a vulnerabilidade do bug de gravação fora dos limites (OOB). Os pesquisadores disseram que a biblioteca afetada é “/System/Library/PrivateFrameworks/MIME.framework/MIME” com a função vulnerável “[MFMutableData appendBytes:length:]”
“[The] a implementação de MFMutableData na biblioteca MIME carece de verificação de erros para chamada de sistema ftruncate (), o que leva à gravação Out-Of-Bounds. Também encontramos uma maneira de acionar o OOB-Write sem esperar pela falha da chamada do sistema ftruncate ”, disseram os pesquisadores.
A segunda falha, um problema de estouro de heap, também pode ser acionada remotamente.
“Tanto o bug OOB Write quanto o Heap-Overflow ocorreram devido ao mesmo problema: não manipular o valor de retorno das chamadas do sistema corretamente”, escreveram os pesquisadores.
“O bug remoto pode ser acionado durante o processamento do e-mail baixado, em tal cenário, o e-mail não será totalmente baixado para o dispositivo como resultado.”
De acordo com os pesquisadores, os dois insetos foram explorados na natureza. No entanto, eles acreditam que “a primeira vulnerabilidade (OOB Write) foi disparada acidentalmente, e o objetivo principal era disparar a segunda vulnerabilidade (Remote Heap Overflow).”
As vulnerabilidades foram descobertas pelo ZecOps enquanto explorava um sofisticado ataque cibernético contra um cliente que ocorreu no final de 2019. De acordo com Zuk Avraham, fundador e CEO da ZecOps, as vulnerabilidades foram exploradas em pelo menos seis invasões de segurança cibernética.
“Com dados muito limitados, pudemos ver que pelo menos seis organizações foram afetadas por essa vulnerabilidade – e o escopo total do abuso dessa vulnerabilidade é enorme”, disseram os pesquisadores.
“Embora o ZecOps evite atribuir esses ataques a um agente de ameaça específico, estamos cientes de que pelo menos uma organização de ‘hackers de aluguel’ está vendendo exploits usando vulnerabilidades que utilizam endereços de e-mail como o identificador principal.”
ZecOps foi capaz de identificar vários alvos nos ataques (dados abaixo):
ZecOps notificou o Apple equipe de segurança sobre as vulnerabilidades em fevereiro. Semana Anterior, Apple lançou o beta 13.4.5 versão do iOS que continha patches de segurança para ambas as vulnerabilidades de dia zero. Uma correção para milhões de usuários de iPhone e iPad está definida para chegar na próxima atualização iOS publicamente disponível no iOS e iPadOS 13.4.5.
Apple INC. Disse que não encontrou evidências de que os hackers estão explorando esta vulnerabilidade.
“Investigamos exaustivamente o relatório do pesquisador e, com base nas informações fornecidas, concluímos que esses problemas não representam um risco imediato para nossos usuários”, disse a empresa de Cupertino, na Califórnia. “O pesquisador identificou três problemas no Mail, mas por si só eles são insuficientes para contornar as proteções de segurança do iPhone e iPad, e não encontramos evidências de que foram usados contra os clientes.” Apple disse.
Nesse ínterim, recomendamos fortemente Apple usuários não usem o aplicativo Mail padrão em seus smartphones em vez disso, mude para os aplicativos Outlook ou Gmail até que a atualização do iOS seja lançada.
