Avec sa prochaine mise à jour iOS 13.4.5 (actuellement en bêta), Apple va corriger des vulnérabilités de sécurité manifestement critiques qui existent depuis au moins iOS 6 en septembre 2012, selon les chercheurs de ZecOps. Une période qui renvoie au lancement de l'iPhone 5.
Avec un niveau de confiance dit élevé, ZecOps suppose que les vulnérabilités jusqu'à présent non divulguées sont largement exploitées dans la nature pour des attaques ciblées par un ou plusieurs opérateurs de menaces avancées.
Parmi les cibles de premier plan, il y aurait des individus d'une entreprise américaine du Fortune 500, un cadre d'un opérateur mobile au Japon, une personnalité en Allemagne, des fournisseurs de services informatiques en Arabie saoudite et Israël, un journaliste en Europe. Il est question d'attaquer l'iPhone ou l'iPad via l'application Mail par défaut sur iOS.
You’ve Got (0-click) Mail! Unassisted iOS Attacks via MobileMail/Maild in the Wild via @ZecOps Blog https://t.co/tHbq1ZUuom
— ZecOps (@ZecOps) April 22, 2020
" La portée de l'attaque consiste à envoyer un email spécialement conçu à la boîte de réception d'une victime, lui permettant de déclencher une vulnérabilité (ndlr : pour l'exécution de code à distance) dans le contexte de l'application MobileMail (iOS 12) ou maild (iOS 13) ", écrit ZecOps.
L'email sert à déclencher un débordement de tas (heap overflow) pour exposer le système à des exploits plus dangereux. Hormis une fuite, modification et suppression d'emails, une vulnérabilité kernel supplémentaire serait nécessaire pour un accès complet à l'appareil.
Pour la victime, une tentative d'attaque se solde par un plantage de l'application Mail sur iOS 12, alors que sur iOS 13, c'est seulement un ralentissement temporaire. En cas d'échec de l'attaque, les emails envoyés affichent un message : " This message has no content. "
Dans une FAQ, ZecOps souligne qu'une exploitation ne nécessite par d'interaction de la part de l'utilisateur final sur iOS 13, alors que la victime doit cliquer sur un email sur iOS 12. ZecOps indique avoir détecté une possible exploitation remontant à jusqu'à janvier 2018, mais le problème existerait bel et bien depuis iOS 6. Par ailleurs, macOS n'est pas vulnérable.
À Reuters, un porte-parole d'Apple a confirmé qu'un correctif a été développé. Il a par contre refusé de commenter les trouvailles de ZecOps qui conseille dans l'attente d'iOS 13.4.5 de se détourner de l'application Mail.
