Apple уверяет, что свежий 0-day в iOS не использовался хакерами

Ранее на этой неделе специалисты компании ZecOps сообщили о 0-day уязвимости в iOS, которая, по их данным, использовалась хакерами с 2018 года или даже дольше. В частности, проблему удалось воспроизвести даже в iOS 6, выпущенной в 2012 году.

Исследователи писали, что эксплуатация уязвимости не требует какого-либо взаимодействия с пользователем, и злоумышленникам достаточно просто отправить жертве вредоносное письмо. Если пользователь получит почту или откроет Apple Mail, эксплоит сработает. При этом для Gmail и других почтовых клиентов атака неактуальна.

В своем отчете эксперты ZecOps сообщали, что уязвимость уже давно эксплуатируют хакеры. В частности исследователи обнаружили попытки атак на частных лиц и компании из списка Fortune 500 в Северной Америке, руководство японской компании-перевозчика, германского поставщика услуг управляемой безопасности, европейского журналиста и так далее. При этом отмечалось, что обнаруженные атаки хорошо подходят под «профиль» одной известной правительственной хак-группы, но ее название на раскрывалось, так как эксперты все же опасались ошибиться с атрибуцией.

Теперь специалисты Apple сделали официальное заявление относительно отчета ZecOps. Инженеры компании пишут, что тщательно изучили информацию о найденных специалистами проблемах и утверждают, что эксперты ошиблись – уязвимости не использовались для атак на пользователей. При этом сам факт существования проблем компания не отрицает.

«К любым сообщениям об угрозах безопасности Apple относится серьезно. Мы тщательно изучили отчет исследователей и, основываясь на предоставленной информации, пришли к выводу, что эти проблемы не представляют непосредственного риска для наших пользователей. Исследователи выявили три проблемы в [Apple] Mail, но сами по себе они не могут использоваться для обхода средств защиты iPhone и iPad, и мы не нашли доказательств того, что они применялись против наших клиентов. Эти потенциальные проблемы будут устранены в ближайшее время с обновлением ПО. Мы ценим участие ИБ-исследователей, которые стремятся помочь обеспечить безопасность наших пользователей, и обязательно выразим им благодарность за помощь и участие», — пишут эксперты Apple.

Стоит сказать, что опубликованные ZecOps заявления вызвали немало сомнений и у ИБ-специалистов. Так, некоторые эксперты писали в Twitter (1, 2, 3), что крайне сомневаются в том, что обнаруженные ошибки могли использоваться против пользователей в реальной жизни.

Дело в том, что исследование ZecOps основывалось на crash-логах, обнаруженных на якобы пострадавших устройствах. Данные из этих логов были интерпретированы как попытки эксплуатировать баг и атаковать пользователя. В частности, эксперты ZecOps писали, что неудачные попытки атак оставляли после себя пустые письма и crash-лог устройстве. Тогда как удачные атаки якобы заканчивались удалением пустых электронных писем, чтобы скрыть атаку от пользователя.

Но другие ИБ-специалисты отмечали, что если бы злоумышленники удаляли пустые электронные письма для сокрытия следов, скорее всего, они удаляли бы и crash-логи с пострадавших девайсов. Поэтому многие заключили, что аналитики ZecOps нашли «испорченные» электронные письма, появившиеся из-за обычного бага, а не злонамеренные атаки на пользователей iOS. Теперь свежее заявление Apple подтверждает эти выводы.

В ответ на это специалисты ZecOps пообещали опубликовать дополнительную информацию об уязвимостях и PoC-эксплоит, как только патч станет доступен для всех пользователей iOS. Напомню, что 15 апреля 2020 года Apple выпустила бета-версию iOS 13.4.5, где уязвимости были исправлены, так что теперь остается дождаться релиза стабильной версии iOS 13.4.5 в ближайшие недели.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы