Apple disputa existência de 0-day no iOS em uso há dois anos

O relato de uma falha de uma vulnerabilidade no iOS que permitia infectar o sistema através de um simples email sem qualquer interacção do utilizador, e que estaria a ser usado há anos, levantou bastante perguntas - mas a Apple diz que não é o caso.

A empresa de segurança ZecOps diz ter descoberto vulnerabilidades que permitem que um atacante se apodere de um iPhone ou iPad mediante o simples envio de um email, sem necessidade que o utilizador clique em qualquer link malicioso. A piorar a situação, dizem também que esta vulnerabilidade está a ser usada há pelo menos dois anos em campanhas de ataque direccionadas.

No entanto, vários outros especialistas e a própria Apple já vieram dizer que não é bem assim, dizendo que as falhas poderão provocar o crash do sistema, mas que estão longe de permitir a execução de código remoto e de se apoderarem dos equipamentos, como está a ser dito.

Looks like you have a real vuln but the evidence of exploitation looks weak… and no info in your post on post-exploitation chaining to lead to info disclosure or code execution. Any update you can share? Pretty big claim of a no-click mail 0-day being used. https://t.co/xrWbXTPndQ

— Rich Mogull (@rmogull) April 22, 2020

A Apple refere ainda que não descobriu qualquer indício de que esta falha estaria a ser usada há anos, como indicado pela empresa de segurança; embora a ZecOps continue a insistir nisso, referindo que irá fornecer mais detalhes e informação sobre esses ataques após a Apple corrigir as vulnerabilidades em questão.

Uma coisa é certa, alguém irá ficar mal visto: ou a Apple por estar a tentar minimizar uma vulnerabilidade potencialmente de alto-risco, ou a empresa de segurança por estar a tentar fazer passar um bug mais simples como sendo uma falha grave. Entretanto, é de esperar que a Apple lance uma actualização a tratar do problema (e também do novo bug dos caracteres sindhi) nos próximos dias.