header-logo

Маркетинговые коммуникации на основе искусственного интеллекта

Отказ от ответственности: приведенный ниже текст был автоматически переведен с другого языка с помощью стороннего инструмента перевода.


Apple по умолчанию Почта приложение для iPhone имеет серьезный недостаток безопасности, исследователи утверждают,

Apr 24, 2020 2:16 AM ET

Фото: Amelia Holowaty Krales / The Verge

Исследователи безопасности говорят, что iPhone имеет серьезный недостаток в родном приложении iOS Mail, что делает его уязвимым для хакеров, согласно докладу, опубликованному в среду в Сан-Франциско фирма Зекопс.

Недостаток ранее не был раскрыт Apple, что делает его чрезвычайно ценным для различных плохих актеров. Зекопс говорит, что он считает, “с высокой уверенностью, что эти уязвимости … широко эксплуатируются в дикой природе в целенаправленных атак передовых оператора угроз (ы)”

Зекопс считает, что по крайней мере шесть громких целей стали жертвами подвига, в том числе исполнительной от мобильного оператора в Японии и “индивидуалов из Fortune 500 компании в Северной Америке”. Зекопс отказывается назвать имена жертв по соображениям конфиденциальности, и он говорит, что он не смог получить вредоносный код, потому что сообщения электронной почты, как полагают, были удаленно удалены хакерами.

“Область атаки состоит в отправке специально созданного электронного письма в почтовый ящик жертвы, позволяющую ему вызвать уязвимость в контексте приложения iOS MobileMail на iOS 12 или по почте на iOS 13”, – говорится в сообщении. Зекопс говорит, что уязвимость, которая лежит в основе по крайней мере двух связанных IOS нулевой день подвиги, существует в приложении Mail по крайней мере с iOS 6, который был выпущен в 2012 году.

В настоящее время, однако, кажется, что зекопс не имеет публичных доказательств подвиги используются он чувствует себя комфортно обмена, в результате чего некоторые исследователи безопасности на вопрос об обоснованности претензии. Это включает в себя Янн Хорн, исследователь проекта Google нулевой кибербезопасности проекта:

Зук

@ihackbanme

Ответ на @ihackbanme

Технические подробности доступны по адресу: https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
Мы выпустим POCs в ближайшее время

У вас есть (0-клик) Почта! Без посторонней помощи IOS Атак через MobileMail / Maild в дикой природе через @ZecOps блог

Влияние и ключевые детали (TL;DR) : Уязвимость позволяет удаленного выполнения кода возможности и позволяет злоумышленнику удаленно заразить устройство, отправив электронную почту, которые потребляют значительное количество …

blog.zecops.com

Янн Хорн@tehjh
 

Зекопс вашей записи говорит: “Подозрительные события включены строки обычно используются хакерами (например, 414141 … 4141).”, но это также то, что он выглядит, когда вы просто base64-код нулbytes; и это MIME разбор, так что вы, вероятно, увидите base64-закодированные данные

34

19:00 – 22 апреля 2020 г.

Информация о рекламе и конфиденциальности в Твиттере
Посмотреть другие твиты Яна Хорна
 
 

Несмотря на это, что делает этот конкретный подвиг так опасно в теории является то, что он не требует жертвы, чтобы загрузить файл или посетить вредоносных зараженных веб-сайт. Вместо этого, все это требуется для удаленного выполнения кода на устройстве iOS жертвы для приложения Mail, чтобы получить электронную почту и для жертвы, чтобы открыть сообщение.

Зекопс говорит, что воспроизвел результаты взлома в своей лаборатории после того, как изменены на подозрительные аварии на iPhones клиентов летом прошлого года. Затем он сообщил подвиги в прошлом месяце в Apple, который, по словам Зекопса, уже исправил уязвимость в последнем бета-релизе iOS. Исправления, как ожидается, прибудут для небета-версии iOS в обновлении для всех пользователей в ближайшие недели. Apple отказалась комментировать полученные результаты.

“Чтобы смягчить эти проблемы – вы можете использовать последнюю бета-версию. Если использование бета-версии невозможно, рассмотрите возможность отключения приложения Mail и используйте Outlook или Gmail, которые не являются уязвимыми», – пишет Зекопс.

Contact Information:

Nick Statt
Tags:   Russian, United States, Wire