Mail v iOS obsahuje kritické chyby. Útočníci dokážou jedním emailem zahltit paměť případně stahovat a mazat zprávy

Bezpečnostní odborníci odhalili hned dvě kritické zranitelnosti v systémové aplikaci Mail. Tu dokážou útočníci využít k zahlcení paměti iOS zařízení anebo ke stahování emailů ze zařízení.

Odborníci ze společnosti ZecOps odhalili dvě kritické zranitelnosti aplikace Mail v iOS 13. Zranitelnosti se však nachází i v předchozí verzi operačního systému iOS 12 a jejich původ dokonce sahá až k iOS 6. Ten vyšel společně s iPhone 5.

Mail v iOS obsahuje kritické chyby. Útočníci dokážou jedním emailem zahltit paměť případně stahovat a mazat zprávy

Zranitelnost dovolí útočníkovi spouštět kód obsažený přímo ve zprávě anebo v její příloze. Odborníci jmenují například kód v těle zprávy anebo přílohu ve formátu RTF. Cest je však mnohem více.

K útoku na iOS 13 není potřeba součinnost uživatele. Kód se automaticky provede po spuštění aplikace a dokonce stačí, aby běžela jen na pozadí. V iOS 12 musí uživatel klepnout na email, aby bylo započato stahování zprávy. Pokud však útočník ovládá patřičný emailový server, může obejít interakci uživatele a donutit aplikaci email stáhnout.

Kolaps zařízení nebo stahování a úprava emailů

Nejčastějším projevem zranitelnosti je kompletní zahlcení paměti RAM daného zařízení. To pak může zkolabovat. Další variantou je stažení zpráv ze zařízení, případně jejich úprava nebo smazání z aplikace Mail.

První útoky tohoto typu byly zaznamenány už v iOS 11.2.2 v lednu 2018. Odborníci nevylučují, že zranitelnosti mohly být zneužity i před tímto datem.

Apple by měl chybu opravit v aktualizaci iOS 13.4.5, která se nyní nachází v betaverzi a vydání se očekává v následujících týdnech. Do té doby je doporučeno používat alternativní emailové aplikace jako Gmail nebo Outlook, které těmito zranitelnostmi netrpí.

ZecOps