اپل با تأیید وجود برخی آسیبپذیریها در برنامهی پست الکترونیکی Mail آن برای سیستم عامل iOS، تأثیر این آسیبپذیریها را کماهمیت جلوه داده و ادعاهای مبنیبر بهرهبرداری از آنها در حملات را انکار کرد.
همانطورکه پیش از این گزارش شد، بهتازگی محققان شرکت امنیت سایبری ZecOps، دو آسیبپذیری بحرانی روز صفرم را در برنامهی پست الکترونیکی اپل برای iOS شناسایی کردهاند. به گفتهی محققان، این آسیبپذیریها که از زمان انتشار iOS 6 در سال ۲۰۱۲ میلادی وجود دارند، میتوانند با ارسال یک ایمیل طراحیشده به کاربر هدف، برای اجرای کد دلخواه در محتوای برنامه و همچنین، مشاهده، تغییر و یا حذف ایمیلهای قربانی مورد بهرهبرداری قرار بگیرند. علاوهبراین، این آسیبپذیریها همراه با سایر نقصهای امنیتی، امکان دستیابی کامل به دستگاه آسیبدیده را نیز برای مهاجم فراهم میسازند.
به گزارش محققان امنیتی، درحالیکه در ۱۲ iOS به برخی از تعاملات با کاربر برای بهرهبرداری از این اشکالها نیاز است (یعنی قربانی مجبور است ایمیل مخرب را باز کند)، اما در ۱۳ iOS، امکان راهاندازی حمله بدون دخالت کاربر وجود دارد.
پیش از این محققان ZecOps گزارش کرده بودند که حداقل از ژانویهی سال ۲۰۱۸ میلادی، شواهدی مبنیبر بهرهبرداری از حداقل یکی از این آسیبپذیریها برای هدف قراردادن یک شرکت بزرگ از لحاظ درآمدزایی، یک شخص بسیار مهم، مدیران، ارائهدهندگان خدمات امنیتی مدیریتشده و یک روزنامهنگار وجود دارد.
حال، اپل اعلام کرده است که این گزارش را تجزیه و تحلیل کرده و مشخص کرده است که این نقصها، خطری آنی برای کاربران اپل ایجاد نمیکنند. این شرکت اظهار داشت، محققان در واقع سه اشکال امنیتی را در برنامهی Mail شناسایی كردهاند، اما این اشکالها بهتنهایی برای دورزدن اقدامات محافظتی آیفون و آیپد كافی نیستند. اپل همچنین اعلام کرد که هیچگونه شواهدی مبنیبر بهرهبرداری از این آسیبپذیریها برای هدف قراردادن مشتریان خود پیدا نکرده است.
این غول فناوری درحالحاضر این آسیبپذیریها را در نسخهی بتای ۱۳٫۴٫۵ iOS وصله کرده و قصد دارد این وصلهها را با انتشار نسخههای امنیتی جدید خود، در دسترس تمامی کاربران قرار دهد.
درحالیکه برخی دیگر از اعضای این صنعت نیز ادعاهای ZecOps در مورد بهرهبرداری از این آسیبپذیریها را زیر سوال بردهاند، اما این شرکت امنیت سایبری پای گزارش خود ایستاده و قول داده است یک پست تکمیلی را با جزئیات بیشتر منتشر کند.