Κενό ασφαλείας στο iOS επιτρέπει τον μη εξουσιοδοτημένο έλεγχο φορητών συσκευών

Σοβαρό κενό ασφαλείας εντοπίσθηκε στην Mail εφαρμογή των iPad & iPhone με εγκατεστημένη έκδοση iOS 12 και 13. Πρόκειται για μία εξαιρετικά σημαντική απειλή, μιας και δεν απαιτείται κάποια ενέργεια από τον χρήστη (zero-click exploit) προκειμένου ένας hacker να πάρει τον έλεγχο της συσκευής.

Η παραβίαση της συσκευής εκτελείται σε 2 βήματα. Αρχικά στέλνεται ένα e-mail στο χρήστη το οποίο δημιουργεί υπερχείλιση δεδομένων σε μια δομή αποθήκευσης τύπου «σωρού» (heap overflow) προκαλώντας σφάλμα το οποίο, μεταξύ άλλων, εκθέτει το λειτουργικό σύστημα σε εξωτερικούς παράγοντες επίθεσης. Η λήψη και μόνο του εν λόγω e-mail θέτει αυτόματα σε κίνδυνο τη συσκευή χωρίς να μπορεί να παρατηρήσει ο χρήστης κάποια σοβαρή δυσλειτουργία στην εφαρμογή Mail. Για τους χρήστες συσκευών με έκδοση iOS 12, μπορεί να παρατηρηθεί ένα ξαφνικό κλείσιμο της εφαρμογής Mail, ενώ για τους χρήστες συσκευών με έκδοση iOS 13 δεν θα παρατηρηθεί τίποτα περισσότερο από μια προσωρινή επιβράδυνση της εφαρμογής. Σε περίπτωση αποτυχημένης προσπάθειας παραβίασης θα εμφανίζεται στο χρήστη ένα e-mail χωρίς περιεχόμενο.

Οι επιθέσεις αυτού του τύπου είναι προς το παρόν στοχευμένες και όχι γενικού τύπου (spree attack vector).