Bug di iPhone membuat email rentan terhadap peretas, kata perusahaan keamanan

Bug yang baru ditemukan di aplikasi Mail untuk iPhone dapat memungkinkan penyerang membaca, memodifikasi, dan menghapus email, kata para peneliti.

Apple mengatakan akan memperbaiki kerentanan di versi iOS berikutnya, 13.4.5, dan bahwa pengguna perangkat lunak beta sudah dilindungi. Tetapi sampai pembaruan ini tersedia bagi masyarakat umum, semua pengguna iPhone lainnya akan rentan terhadap serangan, yang dapat digunakan untuk mencuri konten email.

Bug ini sangat serius karena beberapa alasan, menurut perusahaan keamanan ZecOps, yang menerbitkan rincian temuannya minggu ini: tidak ada koreksi publik untuk cacat tersebut, yang memengaruhi semua versi iOS dari 6; dapat dieksplorasi pada versi terbaru iOS tanpa interaksi pengguna; dan telah ditemukan digunakan oleh penyerang dunia nyata sejak Januari 2018.

Sampai kerentanan diperbaiki, ZecOps merekomendasikan agar pengguna "mempertimbangkan untuk menonaktifkan aplikasi Mail dan menggunakan Outlook atau Gmail".

Serangan itu bekerja dengan mengirim email yang dibuat khusus yang membanjiri memori perangkat, memungkinkan penyerang untuk mengganggu perlindungan yang biasanya dilakukan Apple untuk mencegah Mail dari secara tidak sengaja mengeksekusi kode berbahaya.

Ini berisi batasan yang cukup untuk mencegahnya dieksploitasi secara luas, menurut Jake Moore, pakar keamanan siber di perusahaan keamanan Internet Eset. Setiap email perlu dibuat khusus untuk satu target, daripada "peretasan massal" yang memengaruhi ribuan orang, katanya.

"Agak membingungkan betapa mudahnya data pribadi dari perangkat Apple tampaknya telah di-exfiltrasi dari jarak jauh," katanya.

Namun, bagi mereka yang sengaja menjadi sasaran peretas, risikonya tidak melulu teoretis. Meneliti catatan lalu lintas email mereka, peneliti keamanan mengatakan mereka telah menemukan setidaknya enam contoh ketika mereka percaya bug telah dieksploitasi secara aktif, dengan target termasuk wartawan Eropa, VIP Jerman dan individu-individu dari organisasi Fortune 500 utara. Amerika ”.

Karena penyerang mendapatkan kemampuan untuk menghapus email, ia juga dapat menghapus email yang ia kirim untuk memicu exploit, yang secara efektif menutupi jejaknya.

ZecOps mengatakan yakin serangan itu dilakukan oleh "setidaknya satu operator ancaman dari negara-bangsa", tetapi menolak untuk mengidentifikasi negara mana pun.

Satnam Narang, insinyur riset utama di perusahaan cybersecurity Tenable, mengatakan kelemahan itu "signifikan dan patut diperhatikan". "Sementara Apple mengeluarkan perbaikan untuk kekurangan ini dalam versi beta iOS 13.4.5, perangkat masih rentan sampai versi akhir iOS 13.4.5 sudah tersedia untuk semua pemilik perangkat iOS," katanya.

"Sementara itu, satu-satunya mitigasi dari kegagalan ini adalah menonaktifkan akun email yang terhubung ke aplikasi iOS Mail dan menggunakan aplikasi alternatif, seperti Microsoft Outlook atau Google Gmail."

Apple menolak berkomentar.

Sumber: Wali // Kredit gambar: Alamy

0 0 suara
Peringkat Artikel
Berlangganan
Beritahu
tamu

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data umpan balik Anda diproses.

0 Komentar
Masukan Inline
Lihat semua komentar