Apple оспаривает точность отчета на этой неделе о том, что найденные злоумышленники использовали непроверенную ошибку iOS, которая позволила им полностью контролировать iPhone.
Базирующаяся в Сан-Франциско охранная фирма ZecOps заявила в среду, что злоумышленники использовали эксплойт нулевого дня по меньшей мере против шести целей в течение по меньшей мере двух лет. В спорном теперь отчете ZecOps сказал, что критический недостаток находится в почтовом приложении и может быть вызван отправкой специально обработанных электронных писем, которые не требуют взаимодействия со стороны пользователей.
Apple тогда отказалась комментировать этот отчет. Поздно вечером в четверг, однако, Apple отодвинула выводы ZecOps о том, что (а) ошибка представляла угрозу для пользователей iPhone и iPad и (Б) была какая-либо активная эксплойт вообще. В своем заявлении чиновники написали::
Apple серьезно относится ко всем сообщениям об угрозах безопасности. Мы тщательно изучили отчет исследователя и, основываясь на предоставленной информации, пришли к выводу, что эти вопросы не представляют непосредственного риска для наших пользователей. Исследователь выявил три проблемы в Почте, но в одиночку они недостаточны, чтобы обойти защиту безопасности iPhone и iPad, и мы не нашли никаких доказательств того, что они были использованы против клиентов. Эти потенциальные проблемы будут рассмотрены в обновлении программного обеспечения в ближайшее время. Мы ценим наше сотрудничество с исследователями безопасности, чтобы помочь сохранить наших пользователей в безопасности и будем кредитовать исследователя за их помощь.
Значительное число независимых исследователей также поставили под сомнение вывод ZecOps. Как правило, критики говорили, что доказательства ZecOps, основанные на своих выводах, не были убедительными. Спорные выводы были основаны на доказательствах того, что вредоносные электронные письма были удалены, предположительно, чтобы скрыть атаки, но эти данные, которые остались в журналах, указывали на то, что удаление и сбои были результатом эксплойта.
Критики сказали, что если бы эксплойт смог удалить электронные письма, он также смог бы удалить данные журнала сбоев. Критики заявили, что сбой и некоторые технические детали, содержащиеся в отчете ZecOps, настоятельно предполагают, что дефект был более мягкой ошибкой, которая была вызвана определенными типами электронных писем. Также скептически настроенные критики говорят, что продвинутый эксплойт вообще вызовет крах. С тех пор эти сомнения никуда не делись.
ХД Мур, вице-президент по исследованиям и разработкам Atredis Partners и эксперт по эксплуатации программного обеспечения, сказал мне в пятницу:
Похоже, что ZecOps идентифицировал отчет о сбое, нашел способ воспроизвести сбои и на основе косвенных доказательств предположил, что это использовалось в вредоносных целях. Похоже, что после того, как он сообщил об этом Apple, Apple исследовала, обнаружила, что это были просто ошибки сбоя, и это закрывает дверь на то, что на самом деле в дикой эксплуатации новой iOS нулевой день.
Возможно, Apple ошибается, но, учитывая их чувствительность к этому материалу, они, вероятно, проделали приличную работу по его расследованию. По слухам, я слышал, что команда внутренней безопасности, которая занималась этим расследованием в Apple, была недовольна этим, поскольку ZecOps сразу же отправились в прессу, прежде чем у них был шанс просмотреть.
Другие критики выступили со своей критикой в Twitter.
“Похоже, что у вас есть настоящий vuln, но доказательства эксплуатации выглядят слабыми... и никакой информации в вашем посте о цепочке после эксплуатации, чтобы привести к раскрытию информации или выполнению кода", - написал исследователь Рич Могул. “Есть какие-нибудь новости, которыми вы можете поделиться? Довольно большая претензия на использование почты no-click mail 0-day.”
В то время как могул оставил открытой возможность реального использования уязвимости, он сказал, что ZecOps не предоставил достаточных доказательств, чтобы исключить преднамеренный сбой ошибки. Здесь есть и другая критика.
ZecOps, тем временем, казалось, стоял на своем отчете, заявив в Twitter:
Согласно данным ZecOps, в дикой природе были триггеры для этой уязвимости в нескольких организациях. Мы хотим поблагодарить Apple за работу над патчем, и мы с нетерпением ждем обновления наших устройств, как только он будет доступен. ZecOps выпустит больше информации и POCs, как только патч будет доступен.
ZecOps сказал, что на основе данных, собранных на айфонах, которые, по его мнению, были использованы, исследователи компании смогли написать доказательство концепции эксплойта, который полностью контролировал полностью обновленные устройства. ZecOps отказался публиковать эксплойт или другие данные до тех пор, пока Apple не выпустит исправление для этой ошибки. Apple уже выпустила патч для бета-версии предстоящей версии 13.4.5, и, как говорится в заявлении в четверг вечером, компания планирует сделать его общедоступным в ближайшее время.
Полемика, отрицание Apple и редкость уязвимостей нулевого клика в iOS, безусловно, являются причинами для скептицизма. Стоит ознакомиться с дополнительной информацией, которую ZecOps пообещал опубликовать, как только Apple выпустит исправление.