Segundo os pesquisadores, esta falha existe há quase 10 anos!

A falha não havia sido divulgada anteriormente à Apple, tornando-a extremamente valiosa para uma variedade de maus atores. A ZecOps diz que acredita “com grande confiança que essas vulnerabilidades … são amplamente exploradas na natureza em ataques direcionados por operadores avançados de ameaças”.

A ZecOps acredita que pelo menos seis alvos de alto perfil foram vítimas da exploração, incluindo um executivo de uma operadora de telefonia móvel no Japão e “indivíduos de uma empresa da Fortune 500 na América do Norte”. O ZecOps está se recusando a nomear as vítimas por motivos de privacidade e diz que não conseguiu obter o código malicioso porque acredita-se que as mensagens de email tenham sido excluídas remotamente pelos hackers.

“O escopo do ataque consiste em enviar um email especialmente criado para a caixa de correio da vítima, permitindo que ela ative a vulnerabilidade no contexto do aplicativo iOS MobileMail no iOS 12 ou no iOS 13”, diz o relatório. ZecOps diz que a vulnerabilidade, subjacente a pelo menos duas explorações relacionadas ao dia zero do iOS, existe no aplicativo Mail desde pelo menos o iOS 6, lançado em 2012.

No momento, no entanto, não parece que o ZecOps tenha evidências públicas de que as explorações estão sendo usadas e que seja confortável o compartilhamento, levando alguns pesquisadores de segurança a questionar a validade da alegação. Isso inclui Jann Horn, pesquisador do projeto Zero de segurança cibernética do Google

Independentemente disso, o que torna essa exploração em particular tão perigosa em teoria é que ela não exige que a vítima faça o download de um arquivo ou visite um site infestado por malware. Em vez disso, tudo o que é necessário para executar remotamente o código no dispositivo iOS da vítima é que o aplicativo Mail receba o email e a vítima abra a mensagem.

O ZecOps diz que reproduziu os resultados do hack em seu laboratório depois de ser alterado para falhas suspeitas nos iPhones dos clientes no verão passado. Em seguida, ele relatou as explorações no mês passado à Apple, que, segundo o ZecOps, já corrigiu a vulnerabilidade na versão beta mais recente do iOS. Espera-se que as correções cheguem à versão não beta do iOS em uma atualização para todos os usuários nas próximas semanas. A Apple se recusou a comentar as conclusões.

“Para atenuar esses problemas, você pode usar a versão beta mais recente disponível. Se não for possível usar uma versão beta, considere desabilitar o aplicativo Mail e use o Outlook ou o Gmail que não são vulneráveis ​​”, escreve ZecOps.