(Foto von Jaap Arriens / NurPhoto über Getty Images) UPDATE 4/24: Apple drängt auf den ZecOps-Bericht.
"Wir haben den Bericht des Forschers gründlich untersucht und sind aufgrund der bereitgestellten Informationen zu dem Schluss gekommen, dass diese Probleme kein unmittelbares Risiko für unsere Benutzer darstellen.
Der Forscher hat drei Probleme in Mail identifiziert, die jedoch allein nicht ausreichen, um iPhone und iPad zu umgehen Sicherheitsschutz, und wir haben keine Beweise dafür gefunden, dass sie gegen Kunden verwendet wurden ", heißt es in einer Erklärung.
Originalgeschichte:
Hacker haben möglicherweise eine bisher unbekannte iOS-Sicherheitsanfälligkeit verwendet, um die iPhones von Personen mit einer speziell gestalteten E-Mail zu infiltrieren.
Der Fehler betrifft die offizielle Mail-App in iOS.
Laut dem Cybersicherheitsunternehmen ZecOps können Sie die Software tatsächlich dazu veranlassen, unerwünschten Computercode auszuführen, wenn sie eine E-Mail verarbeitet, die viel RAM verbraucht.
Was den Fehler besonders beängstigend macht, ist, wie die speziell gestaltete E-Mail ihn ohne Interaktion des Benutzers auslösen kann.
Stattdessen tritt der Angriff im Hintergrund auf, wenn die Mail-App die E-Mail lädt.
Daher nennt ZecOps die Sicherheitsanfälligkeit einen Remote-Zero-Click-Angriff.
Das Unternehmen hat bereits im Januar 2018 Hacker entdeckt, die den Fehler missbrauchen, um Unternehmensbenutzer, Führungskräfte des Unternehmens und andere IT-Cybersicherheitsunternehmen anzusprechen.
ZecOps konnte die Angriffe jedoch nicht definitiv bestätigen.
Die zum Auslösen der Sicherheitsanfälligkeit verwendeten E-Mails wurden von den Geräten des Opfers gelöscht.
Stattdessen stützte sich das Unternehmen auf digitale Hinweise, die während der Eingriffe übrig blieben, um den Angriffsvektor zu rekonstruieren.
(Dabei hat ZecOps auch eine weitere Sicherheitsanfälligkeit für iOS entdeckt, die von den Hackern wahrscheinlich versehentlich ausgelöst wurde.)
ZecOps-Informationsleiste über den Angriff.
Laut ZecOps betrifft der Zero-Click-Angriff iOS-Versionen, die auf iOS 6 zurückgehen.
Die Sicherheitsanfälligkeit weist jedoch einige wichtige Einschränkungen auf: Sie funktioniert nur gegen Apples Standard-Mail-App und nicht gegen andere E-Mail-Apps wie Google Mail oder Outlook.
Die Sicherheitsanfälligkeit kann auch Ihr iPhone nicht übernehmen.
Stattdessen muss es mit einem anderen Angriff gekoppelt werden, um das Betriebssystem entführen zu können.
Andernfalls kann die Sicherheitsanfälligkeit allein nichts anderes tun, als E-Mails aus der Mail-App zu ändern, zu löschen oder zu verlieren.
Empfohlen von unseren Redakteuren
Die andere Einschränkung betrifft die speziell gestaltete E-Mail.
ZecOps gab an, eine Demo des Angriffs unter Verwendung einer E-Mail mit mehreren Gigabyte im Klartext entwickelt zu haben - eine enorme Größe, die die Obergrenze für beliebte E-Mail-Dienste wie Google Mail und Yahoo Mail überschreitet.
Trotzdem sagte ZecOps, dass ein Hacker andere Tricks verwenden kann, um die Sicherheitsanfälligkeit auszulösen, ohne eine große E-Mail zu senden.
Ihr iPhone muss die schädliche Nachricht auch nicht vollständig herunterladen.
Laut Motherboard plant Apple, den Fehler in einer kommenden Version für iOS zu beheben.
Derzeit ist das Update nur in der Beta-Version von iOS 13.4.5 verfügbar.
"Wenn Sie nicht auf diese Version patchen können, stellen Sie sicher, dass Sie die Mail-Anwendung nicht verwenden und stattdessen vorübergehend Outlook oder Google Mail verwenden", fügte ZecOps hinzu.
Wer hinter den Angriffen steckt, ist unbekannt.
ZecOps spekuliert jedoch, dass von der Regierung gesponserte Hacker möglicherweise Details zur Zero-Click-Sicherheitsanfälligkeit von einem Dritten gekauft haben.
"Wir sind uns bewusst, dass mindestens eine" Hacker-for-Hire "-Organisation Exploits unter Verwendung von Schwachstellen verkauft, die E-Mail-Adressen als Hauptkennung nutzen", sagte das Unternehmen.
(Foto von Jaap Arriens / NurPhoto über Getty Images) UPDATE 4/24: Apple drängt auf den ZecOps-Bericht.
"Wir haben den Bericht des Forschers gründlich untersucht und sind aufgrund der bereitgestellten Informationen zu dem Schluss gekommen, dass diese Probleme kein unmittelbares Risiko für unsere Benutzer darstellen.
Der Forscher hat drei Probleme in Mail identifiziert, die jedoch allein nicht ausreichen, um iPhone und iPad zu umgehen Sicherheitsschutz, und wir haben keine Beweise dafür gefunden, dass sie gegen Kunden verwendet wurden ", heißt es in einer Erklärung.
Originalgeschichte:
Hacker haben möglicherweise eine bisher unbekannte iOS-Sicherheitsanfälligkeit verwendet, um die iPhones von Personen mit einer speziell gestalteten E-Mail zu infiltrieren.
Der Fehler betrifft die offizielle Mail-App in iOS.
Laut dem Cybersicherheitsunternehmen ZecOps können Sie die Software tatsächlich dazu veranlassen, unerwünschten Computercode auszuführen, wenn sie eine E-Mail verarbeitet, die viel RAM verbraucht.
Was den Fehler besonders beängstigend macht, ist, wie die speziell gestaltete E-Mail ihn ohne Interaktion des Benutzers auslösen kann.
Stattdessen tritt der Angriff im Hintergrund auf, wenn die Mail-App die E-Mail lädt.
Daher nennt ZecOps die Sicherheitsanfälligkeit einen Remote-Zero-Click-Angriff.
Das Unternehmen hat bereits im Januar 2018 Hacker entdeckt, die den Fehler missbrauchen, um Unternehmensbenutzer, Führungskräfte des Unternehmens und andere IT-Cybersicherheitsunternehmen anzusprechen.
ZecOps konnte die Angriffe jedoch nicht definitiv bestätigen.
Die zum Auslösen der Sicherheitsanfälligkeit verwendeten E-Mails wurden von den Geräten des Opfers gelöscht.
Stattdessen stützte sich das Unternehmen auf digitale Hinweise, die während der Eingriffe übrig blieben, um den Angriffsvektor zu rekonstruieren.
(Dabei hat ZecOps auch eine weitere Sicherheitsanfälligkeit für iOS entdeckt, die von den Hackern wahrscheinlich versehentlich ausgelöst wurde.)
ZecOps-Informationsleiste über den Angriff.
Laut ZecOps betrifft der Zero-Click-Angriff iOS-Versionen, die auf iOS 6 zurückgehen.
Die Sicherheitsanfälligkeit weist jedoch einige wichtige Einschränkungen auf: Sie funktioniert nur gegen Apples Standard-Mail-App und nicht gegen andere E-Mail-Apps wie Google Mail oder Outlook.
Die Sicherheitsanfälligkeit kann auch Ihr iPhone nicht übernehmen.
Stattdessen muss es mit einem anderen Angriff gekoppelt werden, um das Betriebssystem entführen zu können.
Andernfalls kann die Sicherheitsanfälligkeit allein nichts anderes tun, als E-Mails aus der Mail-App zu ändern, zu löschen oder zu verlieren.
Empfohlen von unseren Redakteuren
Die andere Einschränkung betrifft die speziell gestaltete E-Mail.
ZecOps gab an, eine Demo des Angriffs unter Verwendung einer E-Mail mit mehreren Gigabyte im Klartext entwickelt zu haben - eine enorme Größe, die die Obergrenze für beliebte E-Mail-Dienste wie Google Mail und Yahoo Mail überschreitet.
Trotzdem sagte ZecOps, dass ein Hacker andere Tricks verwenden kann, um die Sicherheitsanfälligkeit auszulösen, ohne eine große E-Mail zu senden.
Ihr iPhone muss die schädliche Nachricht auch nicht vollständig herunterladen.
Laut Motherboard plant Apple, den Fehler in einer kommenden Version für iOS zu beheben.
Derzeit ist das Update nur in der Beta-Version von iOS 13.4.5 verfügbar.
"Wenn Sie nicht auf diese Version patchen können, stellen Sie sicher, dass Sie die Mail-Anwendung nicht verwenden und stattdessen vorübergehend Outlook oder Google Mail verwenden", fügte ZecOps hinzu.
Wer hinter den Angriffen steckt, ist unbekannt.
ZecOps spekuliert jedoch, dass von der Regierung gesponserte Hacker möglicherweise Details zur Zero-Click-Sicherheitsanfälligkeit von einem Dritten gekauft haben.
"Wir sind uns bewusst, dass mindestens eine" Hacker-for-Hire "-Organisation Exploits unter Verwendung von Schwachstellen verkauft, die E-Mail-Adressen als Hauptkennung nutzen", sagte das Unternehmen.
