I ricercatori di ZecOps hanno individuato una pericolosa vulnerabilità nella app Mail nativa di iOS, una piattaforma che da tempo presta il fianco a gravi problemi di sicurezza e che, nel caso in oggetto, ha fornito un’arma di attacco molto efficace a ignoti cyber-criminali su un periodo di tempo estremamente lungo.
La vulnerabilità di sicurezza scoperta da ZecOps è presente in tutte le versioni di iOS, dalla 6 (2012) fino al più recente aggiornamento 13.4.1, anche se i primi attacchi “in-the-wild” risalirebbero al gennaio del 2018. Per sfruttare la falla basta inviare una mail di grandi dimensioni con la app Mail attiva in background: la missiva “massiva” causerà un errore di memoria, portando alla potenziale esecuzione di codice malevolo da remoto.
La falla è talmente pericolosa che non è necessario scaricare l’intero contenuto dell’e-mail malformata per far scattare il crash, e non è per giunta necessario alcun intervento manuale da parte dell’utente – almeno in alcuni casi specifici.
Secondo ZecOps, il bug “zero-click” è già attivamente sfruttato da ignoti per prendere di mira individui facenti parte delle aziende incluse nell’elenco Fortune 500, dirigenti giapponesi, VIP tedeschi, provider di sicurezza in Arabia Saudita e Israele, giornalisti europei e (forse) un dirigente di un’azienda svizzera.
Al momento, l’unica alternativa a disposizione degli utenti per non cadere vittime dell’attacco consiste nel disabilitare/non usare la app Mail, magari rivolgendosi ad alternative come Gmail e Outlook che non risultano vulnerabili. Apple avrebbe in ogni caso già chiuso la falla nell’ultima versione di iOS attualmente in stato di beta (iOS 13.4.5 beta).