Apple a confirmé que son application Mail pour iOS était affectée par certaines vulnérabilités, mais le géant de la technologie a minimisé leur impact et contesté les affirmations selon lesquelles les failles auraient été exploitées lors d’attaques.

La société d’automatisation de la cybersécurité ZecOps a rapporté mercredi qu’elle avait identifié quelques vulnérabilités critiques du jour zéro dans l’application Mail pour iOS. Les failles, qui, selon la société, existent depuis la sortie d’iOS 6 en 2012, peuvent être exploitées pour exécuter du code arbitraire dans le contexte de l’application en envoyant un e-mail spécialement conçu à l’utilisateur ciblé.

Un attaquant peut exploiter les vulnérabilités pour afficher, modifier ou supprimer les e-mails de la victime. Combiné avec d’autres défauts, il peut être possible pour un pirate d’avoir un accès complet à un appareil compromis, a déclaré ZecOps.

Alors que sur iOS 12, une certaine interaction utilisateur est requise pour l’exploitation (c’est-à-dire que la victime doit ouvrir l’e-mail malveillant), ZecOps a noté qu’aucune interaction utilisateur n’est requise sur iOS 13.

ZecOps dit avoir vu des preuves qu’au moins une des vulnérabilités a été exploitée pour cibler une entreprise du Fortune 500, un VIP, des dirigeants, des prestataires de services de sécurité gérés (MSSP) et un journaliste. Des attaques auraient été lancées depuis au moins janvier 2018.

Apple déclare avoir analysé le rapport de ZecOps et déterminé que «ces problèmes ne posent pas de risque immédiat pour nos utilisateurs». La société a déclaré que les chercheurs avaient identifié trois problèmes dans l’application Mail, « mais seuls, ils sont insuffisants pour contourner les protections de sécurité de l’iPhone et de l’iPad ».

Apple a également déclaré n’avoir trouvé aucune preuve que les vulnérabilités ont été utilisées contre ses clients.

Le géant de la technologie a déjà corrigé les failles de la version bêta d’iOS 13.4.5, et la société prévoit de déployer les correctifs pour tous les utilisateurs lors de la publication de ses prochaines mises à jour de sécurité.

Certains membres de l’industrie ont également remise en cause Réclamations de ZecOps sur les vulnérabilités exploitées dans les attaques, mais l’entreprise de cybersécurité s’en tient à son rapport et a promis de publier un article de blog de suivi avec des détails supplémentaires.

«Nous pensons que ces attaques sont en corrélation avec au moins un opérateur de menace d’un État-nation ou un État-nation qui a acheté l’exploit à un chercheur tiers en qualité Proof of Concept (POC) et utilisé tel quel ou avec modifications mineures », a déclaré ZecOps dans son blog. « Bien que ZecOps s’abstienne d’attribuer ces attaques à un acteur de menace spécifique, nous sommes conscients qu’au moins une organisation de » pirates informatiques « vend des exploits en utilisant des vulnérabilités qui exploitent les adresses e-mail comme identifiant principal. »

Connexes: les logiciels espions livrés aux utilisateurs d’iPhone à Hong Kong via les exploits iOS

Connexes: des vulnérabilités iOS ont permis aux attaquants de pirater à distance les iPhones pendant des années

En relation: Google Spots Attacks exploite les failles Zero-Day d’iOS

Eduard Kovacs (@EduardKovacs) est un éditeur collaborateur de SecurityWeek. Il a travaillé en tant que professeur d’informatique au lycée pendant deux ans avant de commencer une carrière dans le journalisme en tant que journaliste de nouvelles de sécurité de Softpedia. Eduard détient un baccalauréat en informatique industrielle et une maîtrise en techniques informatiques appliquées en génie électrique.

Chroniques précédentes d’Eduard Kovacs: