Ранее на этой неделе специалисты компании ZecOps сообщили о 0-day уязвимости в iOS, которая, по их данным, использовалась хакерами с 2018 года или даже дольше. В частности, проблему удалось воспроизвести даже в iOS 6, выпущенной в 2012 году.

Исследователи писали, что эксплуатация уязвимости не требует какого-либо взаимодействия с пользователем, и злоумышленникам достаточно просто отправить жертве вредоносное письмо. Если пользователь получит почту или откроет Apple Mail, эксплоит сработает. При этом для Gmail и других почтовых клиентов атака неактуальна.

В своем отчете эксперты ZecOps сообщали, что уязвимость уже давно эксплуатируют хакеры. В частности исследователи обнаружили попытки атак на частных лиц и компании из списка Fortune 500 в Северной Америке, руководство японской компании-перевозчика, германского поставщика услуг управляемой безопасности, европейского журналиста и так далее. При этом отмечалось, что обнаруженные атаки хорошо подходят под «профиль» одной известной правительственной хак-группы, но ее название на раскрывалось, так как эксперты все же опасались ошибиться с атрибуцией.

Теперь специалисты Apple сделали официальное заявление относительно отчета ZecOps. Инженеры компании пишут, что тщательно изучили информацию о найденных специалистами проблемах и утверждают, что эксперты ошиблись – уязвимости не использовались для атак на пользователей. При этом сам факт существования проблем компания не отрицает.

Стоит сказать, что опубликованные ZecOps заявления вызвали немало сомнений и у ИБ-специалистов. Так, некоторые эксперты писали в Twitter (1, 2, 3), что крайне сомневаются в том, что обнаруженные ошибки могли использоваться против пользователей в реальной жизни.

Дело в том, что исследование ZecOps основывалось на crash-логах, обнаруженных на якобы пострадавших устройствах. Данные из этих логов были интерпретированы как попытки эксплуатировать баг и атаковать пользователя. В частности, эксперты ZecOps писали, что неудачные попытки атак оставляли после себя пустые письма и crash-лог устройстве. Тогда как удачные атаки якобы заканчивались удалением пустых электронных писем, чтобы скрыть атаку от пользователя.

Но другие ИБ-специалисты отмечали, что если бы злоумышленники удаляли пустые электронные письма для сокрытия следов, скорее всего, они удаляли бы и crash-логи с пострадавших девайсов. Поэтому многие заключили, что аналитики ZecOps нашли «испорченные» электронные письма, появившиеся из-за обычного бага, а не злонамеренные атаки на пользователей iOS. Теперь свежее заявление Apple подтверждает эти выводы.

В ответ на это специалисты ZecOps пообещали опубликовать дополнительную информацию об уязвимостях и PoC-эксплоит, как только патч станет доступен для всех пользователей iOS. Напомню, что 15 апреля 2020 года Apple выпустила бета-версию iOS 13.4.5, где уязвимости были исправлены, так что теперь остается дождаться релиза стабильной версии iOS 13.4.5 в ближайшие недели.

Теги: CSS