Mercoledì scorso, la società di sicurezza ZecOps ha pubblicato un rapporto in cui mostra le due vulnerabilità di Mail precedentemente sconosciute che, se sfruttate, consentono agli aggressori di accedere in remoto, leggere, modificare o eliminare le e-mail degli utenti.
Come dettagliato da ZecOps, gli aggressori possono sfruttare il bug di iOS inviando e-mail appositamente predisposte che sfruttano il bug, consentendo loro di eseguire codice remoto. Mentre l’attacco richiede a un utente di cliccare sull’e-mail in iOS 12, diventa un vettore zero-click o non assistito quando Mail viene aperto in background in iOS 13.
Apple ha negato la gravità della situazione in una dichiarazione a Mark Gurman di Bloomberg, che successivamente ha condiviso la risposta ufficiale dell’azienda in un tweet.
Apple prende sul serio tutte le segnalazioni di minacce alla sicurezza. Abbiamo studiato a fondo il rapporto del ricercatore e, sulla base delle informazioni fornite, abbiamo concluso che questi problemi non rappresentano un rischio immediato per i nostri utenti. Il ricercatore ha identificato tre problemi in Mail, ma da soli non sono sufficienti per aggirare le protezioni di sicurezza di iPhone e iPad e non abbiamo trovato prove che siano stati utilizzati contro i clienti.
Apple ha affermato che apprezza l’input dei ricercatori indipendenti che contribuiscono a rendere iOS sicuro e che in futuro accrediterà la persona che ha scoperto la vulnerabilità. La società in genere pubblica un aggiornamento di sicurezza con ogni versione del software per dettagliare i bug corretti e identificare i ricercatori della sicurezza o i gruppi di ricerca che li hanno scoperti.
Secondo ZecOps, l’ultima versione beta di iOS 13.4.5 corregge le vulnerabilità segnalate.
Leggi o Aggiungi Commenti