Apple nægter sårbarhed i Mail-app

I sidste uge blev der afsløret en sårbarhed, der gjorde det muligt for hackere at tage control over iPhones via dennes standard-e-mail-app, Mail.

Fra Apple lyder det nu, at man grundigt har undersøgt de informationer, man har fået, og på baggrund af det vurderer, at der ikke var tale om en sårbarhed. Det skriver Arstechnica.

Ifølge en besked fra Apple blev der fundet tre fejl i Mail-appen, men at de alene ikke var nok til at lave et bypass af sikkerhedsforanstaltningerne i iPhone og iPad. Derfor har virksomheden heller ikke fundet grund til at tro, at der er nogen af Apple-kunder, der har været udsat for angreb som følge af disse fejl.

Det var cybersikkerhedsvirksomheden Zecops, der sidste uge fandt frem til sårbarheden, som Apple altså nu benægter findes, og det er de ikke ene om. Fra andre uafhængige sikkerhedseksperter lyder det nemlig også kritik af Zecops konklusion.

Det forlyder nemlig, at man kan slette den mail, der ellers skulle give adgang til enheden. Desuden menes det også, at nogle af detaljerne der blev givet i rapporten, tyder på, at der er tale om en mere simpel bug og tilhørende crash-rapporter.

Andre, som Twitter-brugeren Rich Mogull, mener, at der faktisk er tale om en egentlig sårbarhed, men at den simpelthen er for dårligt dokumenteret.

Looks like you have a real vuln but the evidence of exploitation looks weak… and no info in your post on post-exploitation chaining to lead to info disclosure or code execution. Any update you can share? Pretty big claim of a no-click mail 0-day being used. https://t.co/xrWbXTPndQ

— Rich Mogull (@rmogull) April 22, 2020

Zecops står ved rapport

Selvom der altså bliver sået tvivl om, hvorvidt der faktisk er en sårbarhed i Mail-appen, står virksomheden bag fast og skriver, at man vil udgive mere data, når Apple har patchet sårbarheden.

CEO i Zecops udtaler desuden til Arstechnica, at han har et par uddybende spørgsmål til Apple vedrørende dennes gennemgang af app og sårbarhed.