A ZecOps kiberbiztonsági startup fedezte fel az iOS kiskapuját, amely lehetővé teszi az iPhone és az iPad készülékek levelező alkalmazásába a behatolást. Ez a bug legalább 2012, az iOS 6 óta létezik, azonban a számítógépes bűnözők csak 2018-ban kezdték kihasználni ezt a hibát.
A kiskaput kihasználva a támadók elolvashatják, szerkeszthetik és törölhetik az e-maileket a Mail alkalmazásban. Ami a legrosszabb, a felhasználók valószínűleg nem észlelnek semmi szokatlant az iPhone operációs rendszer legújabb verziójában, az iOS 13-ban, kivéve a legjobb esetben egy ideiglenes lelassulást. Egyes esetekben a sikertelen támadások "Ennek az üzenetnek nincs tartalma” e-mailt eredményeznek.
Először a támadók e-mailt küldnek az áldozatnak. A bejutás után az e-mailt törlik, ami azt jelenti, hogy a legtöbb esetben nem hagynak nyomot. Ugyanakkor az áldozat folytatja megszokott tevékenységét, nem tudva, hogy postafiókját folyamatosan támadják.
Szerencsére a hackerek nem tudnak tömeges támadást indítani, mivel minden célponthoz egyedileg írt e-mailt igényel. Ennek ellenére a sebezhetőség veszélyeztetheti a magas rangú embereket, és nyilvánvalóan ez már folyamatban lehet, akár két éve is.
A ZecOps szerint néhány gyanús célpont között szerepelnek a Fortune 500 szervezet alkalmazottai, svájci és japán vállalatok vezetői, valamint Szaúd-Arábiából és Izraelből származó MSSP-k. A cég úgy véli, hogy a támadások mögött egy nemzetállami fenyegetés lehet.
Az Apple tisztában van a problémával és tervezi kijavítani az iOS 13.4.5 bevezetésével. Ennek béta felhasználói már védelem alatt állnak, mások azonban egyelőre csak annyit tehetnek, hogy letiltják a Levelező alkalmazást vagy alternatívát használnak.
