Una vulnerabilità nell’app di posta Mail per iPhone e iPad sta mettendo a rischio milioni di utenti Apple. La falla di sicurezza scoperta potrebbe permettere agli aggressori di leggere, modificare e cancellare le email, esponendo gli utenti di iPhone e iPad al rischio di furto dei dati.
Apple afferma che correggerà la vulnerabilità dell’app Mail di iPhone e iPad nella prossima versione di iOS 13.4.5 e che gli utenti del software beta sono già protetti. Ma fino a quando tale aggiornamento non sarà reso disponibile al pubblico, ogni altro utente di iPhone è vulnerabile all’attacco, che può essere utilizzato per rubare il contenuto delle e-mail.
Il bug è particolarmente grave per una serie di motivi, secondo la società di sicurezza ZecOps, che ha pubblicato i dettagli delle sue scoperte questa settimana: non esiste una correzione pubblica per il difetto, che influenza ogni versione di iOS dal 6 in poi; può essere sfruttato sull’ultima versione di iOS senza alcuna interazione dell’utente. Fino a quando la vulnerabilità non viene patchata, ZecOps consiglia agli utenti di “considerare di disabilitare l’applicazione Mail e utilizzare Outlook o Gmail”.
L’attacco funziona inviando e-mail appositamente predisposte che inondano la memoria di un dispositivo, consentendo all’attaccante di rompere le protezioni che Apple normalmente mette in atto per impedire all’App Mail di eseguire codice dannoso. Esaminando i registri del traffico e-mail, i ricercatori affermano di aver trovato almeno sei casi in cui credono che il bug sia stato attivamente sfruttato, con obiettivi tra cui un giornalista europeo, un “VIP” tedesco e individui di una organizzazione.
Poiché l’aggressore ottiene la possibilità di eliminare le e-mail, può anche eliminare l’e-mail che ha inviato per innescare l’exploit in primo luogo, coprendo efficacemente le loro tracce.