Apple disputa el reciente reclamo de día cero de iOS


Logotipo de Apple

Imagen: Laurenz Heymann

En una declaración de hoy, Apple dijo que «investigó a fondo» un informe reciente sobre piratas informáticos que explotan tres vulnerabilidades de iOS, pero «no encontró evidencia de que se usaran contra clientes».

La declaración de Apple se create después del miércoles, la firma de seguridad cibernética ZecOps publicó un informe detallando tres vulnerabilidades de iOS que afectaron al cliente de Apple Mail.

ZecOps dijo que encontró evidencia de los errores que se utilizan en la naturaleza contra una lista de objetivos de alto perfil que incluía los gustos de:

  • Individuos de una organización Fortune 500 en Norteamérica
  • Un ejecutivo de un transportista en Japón
  • Un VIP de Alemania
  • MSSP de Arabia Saudita e Israel
  • Un periodista en europa
  • Sospechoso: un ejecutivo de una empresa suiza

Sin embargo, en un informe publicado hoy, Apple dijo que según los detalles compartidos por ZecOps en su informe, no podía llegar a la misma conclusión: que el error fue explotado en la naturaleza. La declaración completa de Apple está a continuación:

«Apple toma en serio todos los informes de amenazas a la seguridad. Hemos investigado a fondo el informe del investigador y, según la información proporcionada, hemos concluido que estos problemas no representan un riesgo inmediato para nuestros usuarios. El investigador identificó tres problemas en Mail, pero solo ellos son insuficientes para eludir las protecciones de seguridad de Apple iphone y iPad, y no hemos encontrado evidencia de que se hayan utilizado contra clientes. Estos problemas potenciales se abordarán pronto en una actualización de computer software. Valoramos nuestra colaboración con investigadores de seguridad para ayudar a mantener a nuestros usuarios seguros y acreditando al investigador por su ayuda «.

La investigación de ZecOps había generado algunas opiniones disidentes en Twitter [1, 2, 3], donde varios investigadores de seguridad de iOS cuestionaron la conclusión de que los errores fueron explotados en el mundo genuine.

La investigación unique basó su suposición de la existencia de explotación en la naturaleza en registros de fallos encontrados en el dispositivo.

Estos registros de bloqueo se interpretaron como intentos de activar el mistake.

ZecOps dijo que la explotación fallida dejó un correo electrónico vacío y un registro de bloqueo en el dispositivo. Durante la explotación posterior o exitosa, ZecOps dijo que el atacante eliminaría los correos electrónicos vacíos para ocultar los ataques del usuario.

apple-mail-exploit.jpg "src =" https://zdnet2.cbsistatic.com/hub/i/2020/04/22/1c18213c-c253-443c-866d-7f27834cc944/apple-mail-exploit.jpg

Imagen: ZecOps

Sin embargo, los investigadores de seguridad señalaron que si el atacante eliminaría los correos electrónicos, probablemente también habrían eliminado los registros de bloqueo.

El contrapunto a la investigación y conclusión unique de ZecOps parece ser que la empresa de seguridad cibernética simplemente estaba viendo correos electrónicos mal formados que desencadenan un error benigno, en lugar de ataques maliciosos contra usuarios de iOS, y que Apple necesitaba evidencia adicional para clasificar estos errores de bloqueo como ataques activos .

zecops-comments.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/04/24/eea29412-d918-4848-b5df-7acbdd144c1b/zecops-comments.png

Respondiendo a un Reuters En el informe de hoy, ZecOps emitió una declaración prometiendo publicar más información sobre el error una vez que un parche esté disponible para toda la base de usuarios de iOS.

Los errores se han parcheado en iOS 13.4.5 beta, y se espera que la solución llegue al canal estable general de iOS en las próximas semanas.

La declaración completa de ZecOps está a continuación:

«De acuerdo con los datos de ZecOps, hubo algunas causas desencadenantes de esta vulnerabilidad en algunas organizaciones. Queremos agradecer a Apple por trabajar en un parche, y esperamos actualizar nuestros dispositivos una vez que esté disponible. ZecOps se lanzará más información y POC una vez que haya un parche disponible «.

La «existencia» de los errores nunca fue cuestionada, ni por Apple ni por la comunidad de seguridad, y se recomienda instalar la versión iOS 13.4.5 cuando salga.

En su declaración, Apple quería dejar en claro que valora los informes de errores de la comunidad de ciberseguridad, en los que la compañía ha invertido considerables recursos y atención en los últimos años, pero dijo que la conclusión de este informe en particular no se pudo verificar a partir de su lado, al menos por el momento y con la información que recibió.





Enlace a la noticia authentic