reklama
Recenze  |  Aktuality  |  Články
Doporučení  |  Diskuze
Aplikace
Auto-Moto
Mobilní telefony
Notebooky
Příslušenství
Tablety
Wearables
Ostatní
O nás  |  Napište nám
Facebook  |  Twitter
Svět hardware  |  Digimanie
TV Freak  |  Svět audia

V Apple Mail je vážná 0-day chyba, pro infikování nemusíte ani kliknout na mail

, , aktualita
V Apple Mail je vážná 0-day chyba, pro infikování nemusíte ani kliknout na mail
Výzkumníci v ZecOps našli dvě velmi nepříjemné chyby v aplikaci Apple Mail. Ta je nainstalována na telefonech iPhone i tabletech iPad. Zjistilo se, že pro úspěšnou infekci dokonce není potřeba ani kliknout na mail.
V Apple Mail je vážná 0-day chyba, pro infikování nemusíte ani kliknout na mail
V softwarech jsou obvykle chyby a aplikace Apple Mail není výjimkou. Výzkumníci ze společnosti ZecOps našli dvě velmi závažné chyby v tomto poštovním klientovi a bohužel jde o chyby typu 0-day. To znamená, že na ně neexistuje oprava, takže se uživatel nemůže bránit aktualizací na novější verze. Navíc jsou obě tyto chyba už nějakou dobu zneužívány útočníky v praxi. Hovoří se o tom, že nejmenovaným státem podporovaná hackerská skupina takto napadla významného představitele japonského operátora, evropské novináře i šéfa významné švýcarské společnosti a další významné osobnosti. Poprvé byl útok pozorován v lednu 2018 na iOS 11.2.2.
 
Apple Mail logo
 
Zjistilo se, že chyby existují v systému už od doby iOS 6 a iPhonu 5, tedy od roku 2012. Uživatel si navíc ani nemusí ničeho všimnout. Obvykle je pozorovatelný akorát pokles výkonu v poštovní aplikaci, která se znatelně zpomalí. Zatímco v iOS 12 uživatel pro infekci musí kliknout na e-mail a k napadení dojde při načítání e-mailu, u iOS 13 lze napadnout telefon už i tehdy, když jen aplikace běží na pozadí a uživatel neotevírá žádnou poštu. V případě iOS 12 je něco takového možné jen tehdy, když má útočník přístup na poštovní server.
 
Útok spočívá v šikovně vytvořeném a jinak na první pohled neškodném e-mailu, který dokáže zahltit paměť RAM. Následkem toho je možné napadnout telefon a spustit na něm vzdáleně škodlivý kód. Opravy by se majitelé telefonů a tabletů měli dočkat v nové verzi iOS 13.4.5. Ta zatím není k dispozici a mají ji jen betatesteři. Společnost Apple nicméně tvrdí, že nejsou žádné důkazy o tom, že by byly chyby zneužívány v praxi. Také říká, že rozsah možností napadení iPhonů a iPadů není tak vážný a nelze převzít kompletní kontrolu nad zařízením.