En cybersäkerhetsexpert har upptäckt en sårbarhet som påverkar iOS Mail-appen och sätter användardata i fara
Apples e-postklient, Mail appen, är farlig eftersom den har en allvarlig sårbarhet. Och det har det varit under en mycket lång tid: sedan iOS 6 släpptes 2012. Detta upptäcktes av cybersäkerhetsföretaget ZecOps, som också tror att sårbarheten redan har utnyttjats minst en gång.
Om att utnyttja denna sårbarhet kan en hackare köra skadlig kod (dvs. skadlig kod eller ett virus) på en persons enhet, i vissa fall utan att användaren behöver klicka på några länkar eller ladda ner några filer: det är en bugg i Mail appen och iOS, som kan utnyttjas genom att skicka ett vanligt e-postmeddelande till offret. Problemet, förklarar ZecOps, är att enheter med iOS 13 är ännu lättare att attackera än enheter med iOS 12 eller tidigare. Det första verkliga fallet av en attack som utnyttjar denna sårbarhet var enligt det elektroniska säkerhetsföretaget i januari 2018 då en enhet med iOS 11.2.2 attackerades. Lösningen? Det finns ingen: Apple har ännu inte släppt någon patch för operativsystemet eller Mail som skulle kunna täppa till felet.
Varför appen Mail är farlig
Sårbarheten som upptäcktes av ZecOps består av en bugg som gör det möjligt för en hackare att fjärrköra kod om den skickar ett e-postmeddelande som förbrukar mycket RAM-minne till det potentiella offret. Det finns inget behov av ett stort meddelande, utan bara att paketera e-postmeddelandet på ett sätt som ökar minnesförbrukningen dramatiskt. När detta väl har uppnåtts kommer sårbarheten i spel, men ZecOps har inte beskrivit den i detalj för att ge Apple tid att täppa till felet.
Ingen anledning att klicka
Sårbarheten kan aktiveras innan hela e-postmeddelandet laddas ner, så innehållet kommer inte nödvändigtvis att stanna kvar på enheten och därför kanske inte ens lämna några spår. Det är möjligt att det har skett många sådana attacker utan att någon har märkt det. Det beror också på att användaren i iOS 13 inte behöver klicka på några länkar eller ladda ner några bifogade filer. På iOS 12 eller tidigare krävs dock att användaren gör något. I vilket fall som helst börjar attacken redan innan enheten visar e-postmeddelandet. Eftersom det ännu inte finns någon lösning för denna sårbarhet rekommenderar ZecOps alla Apple-användare att inte använda Mail appen och tillfälligt ersätta den med en likvärdig app.