iPhones en iPads hebben bug die wordt misbruikt

IT-beveiliger ZecOps slaat met blogpost een alarm vanwege een bug in iOS waarmee kwaadwillenden al zeker twee jaar heel gericht aan de haal gaan, meldt Ars Technica. Met een beperkte hoeveelheid data tot hun beschikking ontdekten de ZecOps-onderzoekers zeker zes gevallen waar de software fout is misbruikt, onder meer bij werknemers van een Fortune 500-bedrijf en diverse hooggeplaatste personen bij bedrijven in Japan, Duitsland, Saoedi-Arabië en Zwitserland. Ook een journalist in Europa viel ten prooi aan misbruik van deze bug.

De kwetsbaarheid kan worden misbruikt met een speciaal bewerkte e-mail. Het misbruik is geconstateerd in combinatie met het gebruik van de iOS Mobile Mail applicatie in iOS 12 of maild in iOS 13, maar volgens de onderzoekers zijn alle iOS-versies vanaf iOS 6 kwetsbaar.

Kwaadwillenden krijgen via deze ingang de mogelijkheid e-mailberichten te lezen, aan te passen of te wissen. In combinatie met een tweede kwetsbaarheid is het mogelijk de volledige controle over het toestel te krijgen en er eigen code op te installeren.

Gebruiker merkt weinig

De eerste kwetsbaarheid biedt de mogelijkheid tot het creëren van een bufferoverflow-situatie nadat een redelijk grote mail is ontvangen op het toestel. Nadat de kwaadaardige code is geïnjecteerd en wordt uitgevoerd wordt de gemanipuleerde mail weer verwijderd. In de meeste gevallen merkt de eigenaar van het toestel niet veel van de inbraak, behalve dat het toestel tijdelijk wat langzamer reageert. Op iOS 12 krijgen de gebruikers een mededeling 'Dit bericht heeft geen inhoud'.

Apple heeft een patch voor de kwetsbaarheid klaar in de bètaversie voor iOS 13.4.5, maar die is nog niet algemeen gedistribueerd. Hoewel tegen de regels van responsible disclosure vond ZecOps het toch verstandig de bug te melden omdat er actief misbruik van wordt gemaakt en kwaadwillenden meer dan alleen de zeroday nodig hebben om apparaten te infecteren.