I alle fall siden IOS 6, som kom i september 2012, skal de innebygde e-posttjenestene på Iphone og Ipad ha hatt to alvorlig sårbarheter som åpner for fjernkjøring av vilkårlig kode. Dette opplyser sikkerhetsselskapet Zecops, som har funnet sårbarhetene.
Sårbarhetene lar seg utnytte ved å sende enheten e-post som forbruker betydelige mengder med minne. Det behøver likevel ikke å være noen veldig stor e-post.
De to sårbarhetene er henholdsvis av typene «Out-Of-Bounds» og «Heap-Overflow». Begge skyldes at returverdien på systemkall ikke håndteres på riktig måte.
Kan ha blitt utnyttet i flere år
I IOS 13 kan sårbarheten utnyttes uten «assistanse» fra brukeren når Mail-appen åpnes i bakgrunnen. I IOS 12 kreves det at brukeren trykker på e-posten. Selve angrepet utføres før e-posten vises, og brukeren skal ikke merke noe unormalt ved selve e-posten. I noen tilfeller kan appen midlertidig oppleves som litt treg, og i IOS 12 kan den også krasje etter angrepsforsøk.
Mislykkede angrepsforsøk avsløres av en e-post hvor det oppgis i appen at meldingen ikke har noe innhold.
Bedriftsledere og journalist kan ha blitt angrepet
Under etterforskningen av sårbarhetene har Zecops funnet spor av at den har blitt forsøkt utnyttet i alle fall siden januar 2018. I et blogginnlegg lister selskapet en del mistenkte mål for angrepene, inkludert bedriftsledere og en europeisk journalist.
Selv om sårbarhetene kan kjøre vilkårlig kode, kan dette i utgangspunktet bare gjøres i konteksten til MobileMail (IOS 12) eller maild (IOS 13). Dette gjør det mulig for en angriper å lekke, endre eller slette e-post. Det kreves kjennskap til ytterligere sårbarheter for å få full tilgang til enheten, men Zecops mistenker at de aktuelle angriperne har dette.
Avslørt av betatesting
Apple skal ha blitt varslet om sårbarhetene den 19. februar. I stedet for å komme med en sikkerhetsoppdatering til alle så raskt som mulig, skal Apple har valgt inkludere sikkerhetsfiksen i en offentlig betautgave av IOS 13.4.5, som kom i forrige uke.
Det at sårbarhetene allerede er avslørt gjennom betaversjonen, er hovedårsaken til at Zecops nå har gått ut med detaljer om både denne sårbarhetene, og at faren for angrep med dette har økt betydelig nå kort tid før sikkerhetsfiksene blir tilgjengelige for alle.
Inntil IOS 13.4.5 er klar, anbefales det at brukerne benytter en annen e-postapp, for eksempel Outlook eller Gmail, som ikke er berørt av sårbarhetene.
Apple har overfor Reuters bekreftet at sårbarhetene eksisterer og at selskapet har utviklet sikkerhetsfikser som vil bli gjort tilgjengelig for brukerne i en kommende oppdatering.