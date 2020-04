Apple aikoo julkaista paikkauksen haavoittuvuuteen, joka voi koskettaa jopa yli puolta miljardia iPhonea.

Applen iPhoneissa ja iPad-tableteissa on laajasti haavoittuvuus, jonka kautta voi varastaa laitteen tietoja kuten sähköposteja, valokuvia ja yhteystietoja. Asiasta kertoo aukon löytänyt tietoturvayhtiö ZecOps raportissaan, josta uutisoi muun muassa Reuters.

Apple vahvistaa aukon laitteidensa Mail-sähköpostisovelluksessa ja on kehittänyt korjauksen. Se on kuitenkin toistaiseksi käytössä vasta iOS:n testiversiossa ja julkaistaan laajasti myöhemmin.

ZecOps korostaa, että haavoittuvuus ei itsessään vielä riitä aiheuttamaan vaaraa käyttäjille. Aukkoa tulee käyttää yhdessä muiden iOS:n virheiden kanssa laitteen kaappaamiseksi etäältä. Yhtiön mukaan näin on kuitenkin jo tehty. Aukko löytyi, kun ZecOps perehtyi asiakastaan vastaan tehtyyn kyberhyökkäykseen vuoden 2019 lopulla.

Kyseinen asiakas on suuri pohjoisamerikkalainen teknologiayhtiö, jonka nimeä ei mainittu. Sittemmin on käynyt ilmi, että haavoittuvuutta on käytetty ainakin viidessä muussa tietomurrossa Japanissa, Saksassa, Saudi-Arabiassa ja Israelissa. Haavoittuvuutta on tiettävästi hyödynnetty ainakin tammikuusta 2018 lukien.

Haavoittuvuutta hyödynnetään lähettämällä puhelimeen huomattava määrä muistia kuluttavia sähköposteja. Nykyisessä iOS 13:ssa käyttäjää ei tarvitse harhauttaa tekemään mitään uhriksi joutuakseen, jos Mail on käynnissä taustalla. IOS 12:ssa käyttäjän pitää näpäyttää sähköpostia.

Apple arvioi viime vuonna, että noin 900 miljoonaa iPhonea on aktiivisessa käytössä ympäri maailman. ZecOps puolestaan päättelee, että haavoittuvuus voi koskettaa yli 500 miljoonaa iPhonea.

Nähtäväksi jää, tavoittaako Applen korjaus läheskään kaikki haavoittuvat laitteet. ZecOpsin mukaan haavoittuvuus on olemassa ainakin vuonna 2012 ilmestyneestä iOS 6:sta lukien. Tuolloin Apple julkaisi iPhone 5:n. Varhaisin Applen edelleen tukema puhelinmalli on yhtiön listan mukaan iPhone 5s, joka julkaistiin vuonna 2013.

ZecOps suosittaa toistaiseksi välttämään Mailin käyttöä ja kytkemään se pois päältä. Sen sijasta tulisi käyttää Microsoftin Outlookia tai Googlen Gmailia. Firma uskoo, että kyberhyökkääjät pyrkivät käyttämään haavoittuvuutta hyväkseen entistä kiivaammin, kun se vielä on mahdollista ennen paikkauksen laajaa jakelua.