Su iOS 13, non è nemmeno richiesto l’intervento da parte dell’utente. Mentre sulle versioni precedenti, l’utente deve almeno aprire la mail ricevuta. Se il malintenzionato controlla il server di posta, l'attacco può essere eseguito anche senza click su iOS 12. Il rapporto spiega che lo sfruttamento riuscito di questa vulnerabilità consentirebbe all'attaccante di entrare in possesso della mail dell’utente, di effettuare modifiche e di eliminare i contenuti. I ricercatori sospettano che gli hacker siano in possesso di un'ulteriore vulnerabilità del kernel che fornirebbe l'accesso completo al dispositivo.
I messaggi che hanno innescato l’attacco non sono stati trovati sugli iPhone degli obiettivi presi di mira, spiegano i ricercatori. Ciò porta a pensare che gli hacker abbiano avuto premura di eliminare ogni traccia dopo aver portato a buon fine l’operazione. In caso di attacco, i possessori dei dispositivi non dovrebbero notare particolari anomalie, fatta eccezione per un rallentamento temporaneo dell’applicazione Mail o un arresto improvviso.
Gli attacchi sarebbero stati condotti ai danni di personaggi di rilievo tra cui individui di un’organizzazione nordamericana presente nella lista Fortune 500, gestori di servizi di sicurezza gestiti da Arabia Saudita e Israele e un giornalista europeo. Come già detto, tutte le versioni di iOS testate (a partire da iOS 6) sono risultate vulnerabili incluso OS 13.4.1.
Ad ogni modo, Apple si è già messa al lavoro per correggere la vulnerabilità. La correzione è inclusa nella versione beta di iOS 13.4.5 che sarà rilasciata al più presto in versione stabile. Nel frattempo, ZecOps consiglia di utilizzare applicazioni di posta alternative.
Aggiornamento 24/04/2020 ore 09:17
Apple ha rilasciato una dichiarazione ufficiale sulla questione specificando che - pur essendo realmente presenti le vulnerabilità scovate da ZecOps - non ci sono prove che siano state usate contro alcuni utenti e che esse non rappresentano un rischio immediato per gli utenti. Di seguito, la dichiarazione:
Apple responds to ZecOps report on Mail app vulnerabilities, says it doesn’t pose immediate risk and software update coming. pic.twitter.com/z4ExrmVfK8
— Mark Gurman (@markgurman) April 24, 2020
"Apple prende sul serio tutte le segnalazioni sulle minacce alla sicurezza. Abbiamo studiato a fondo il rapporto del ricercatore e, sulla base delle informazioni fornite, abbiamo concluso che questi problemi non rappresentano un rischio immediato per i nostri utenti. Il ricercatore ha identificato tre problemi in Mail, ma da soli non sono sufficienti per aggirare le protezioni di sicurezza di iPhone e iPad e non abbiamo trovato prove che siano stati utilizzati contro gli utenti. Questi potenziali problemi verranno presto risolti in un aggiornamento software. Apprezziamo la nostra collaborazione con i ricercatori della sicurezza che ci aiutano a proteggere i nostri utenti e siamo riconoscenti per la loro assistenza".
Il nuovo iPhone SE 2020 è prenotabile su Amazon a partire da 499 euro. Lo trovate a questo link.