27 Maggio 2020 - Tempo di lettura: 10 minuti
L'agenzia federale tedesca per la sicurezza informatica ha invitato oggi gli utenti iOS a installare immediatamente gli aggiornamenti di sicurezza iOS e iPadOS rilasciati da Apple il 20 maggio per correggere due vulnerabilità di sicurezza a zero clic sfruttate attivamente che incidono sull'app di posta elettronica predefinita.
"A causa della criticità delle vulnerabilità, il BSI raccomanda di installare immediatamente il rispettivo aggiornamento di sicurezza su tutti i sistemi interessati", ha affermato il BSI (Bundesamt für Sicherheit in der Informationstechnik) .
La startup di Cybersecurity ZecOps ha rivelato i bug (zero-day al momento della divulgazione) dopo aver scoperto attacchi in corso che colpivano gli utenti iOS almeno da gennaio 2018.
Le due vulnerabilità senza clic sono un problema di consumo di memoria tracciato come CVE-2020-9819 che può portare alla corruzione dell'heap e un problema di scrittura overflow tracciato come CVE-2020-9818 che può portare a modifiche impreviste della memoria o alla chiusura dell'applicazione, entrambi attivati dopo che l'app Mail ha elaborato un messaggio di posta pericoloso.
I difetti di sicurezza di MailDemon sono stati risolti da Apple con il rilascio di iOS 13.5 e iPadOS 13.5 che vengono forniti con una migliore gestione della memoria e controllo dei limiti.
"Riteniamo che questi attacchi siano correlati con almeno un operatore di minaccia dello stato nazionale o uno stato nazionale che ha acquistato l'exploit da un ricercatore di terze parti in un grado Proof of Concept (POC) e utilizzato "così com'è o con piccole modifiche", ha detto ZecOps al momento.
Fortunatamente gli attacchi citati da ZecOps erano diretti contro obiettivi di alto profilo, il che significa che gli utenti regolari non saranno presi di mira direttamente fino a quando gli exploit per i due bug non ricadono nelle mani degli attori delle minacce con obiettivi meno ambiziosi.
Secondo le note sulla versione di sicurezza di iOS 13.5, le vulnerabilità rilevate da ZecOps riguardano iPhone 6s e versioni successive, iPad Air 2 e versioni successive, iPad mini 4 e versioni successive e iPod touch di settima generazione.
Sulla base dell'analisi di ZecOps dei due bug, tutti i dispositivi che eseguono iOS 3.1.3 fino alla 13.4.1 sono esposti a potenziali attacchi che consentirebbero di eseguire codice remoto su dispositivi iPhone e iPad compromessi e fornire accesso a, perdite, modifiche ed eliminazione delle email.
Il fondatore e CEO di ZecOps ha condiviso: 'queste vulnerabilità esistevano da quando esisteva il primo iPhone (iPhone 1 / iPhone 2G) e almeno da iOS 3.1.3.'