Apple tvrdi da propust u Mailu nije ozbiljan kao što se misli
Sigurnosni stručnjaci kompanije ZecOps ovoga su tjedna objavili svoje otkriće "0-click" ranjivosti koja kompromitira korisnike Appleove e-mail aplikacije za iOS. Iz Applea ih demantiraju
Ovih se dana mnogo pisalo o ranjivosti koju su sigurnosni stručnjaci kompanije ZecOps otkrili u mobilnoj aplikaciji Apple Mail, inače defaultnom e-mail klijentu na iOS-u. Sve verzije te aplikacije, još od iOS-a 6 pa do danas, imaju vrlo opasan sigurnosni propust koji omogućava preuzimanje kontrole nad uređajima, izvršavanje koda na daljinu i krađu podataka – tvrdili su iz ZecOps-a. Naveli su i kako je riječ o dva zasebna propusta koji se aktivno koriste, odnosno da su neki vlasnici iPhonea ili iPada već bili žrtvama hakerskih napada zahvaljujući ovoj sigurnosnoj "rupi".
Kao jedino rješenje, dok Apple ne zakrpa problem, tada su preporučili deaktiviranje aplikacije i prelazak na neko drugo zamjensko rješenje koje ne može biti kompromitirano na ovaj način. Iz Applea su se sada i javno oglasili i demantirali da je riječ o propustu koji se aktivno koristi.
Nije opasno, ali…
Apple je putem glasnogovornika objavio da su detaljno istražili ZecOps-ove tvrdnje te da su zaključili kako navedeni problemi ne predstavljaju izravan rizik za korisnike. Pronađeni propusti u aplikaciji Mail postoje, no oni nisu dovoljni da bi se zaobišle druge sigurnosne zaštite iPhonea i iPada. Nisu pronađeni niti dokazi da je neki od ovih propusta iskorišten kako bi se hakiralo korisnike, navode iz Applea.
Potencijalni problemi koji proizlaze iz otkrivene ranjivosti bit će, kažu, uskoro ipak zakrpani softverskom nadogradnjom.
Povodom ovog slučaja u raspravu su se uključili i drugi sigurnosni stručnjaci. Oni kritiziraju ZecOps da su prerano izišli u javnost sa zaključcima, i to bez da je itko prije toga neovisno potvrdio da se napadi kakve su opisali zaista mogu i izvesti. O postojanju propusta, dakle, nema spora, no o tome koliko je (i je li uopće) ugrožena sigurnost korisnika očito se još vode polemike.
Iz ZecOps-a ostaju pri svojim tvrdnjama i kažu da će sve detalje o iskorištavanju propusta objaviti jednom kada Apple u javnost pusti zakrpu za njega. Spominju i da imaju dokaze za najmanje šest neovlaštenih upada u uređaje na način koji su opisali u svojem prvom blogu.