Zranitelnost je známá pod kódovým označením CVE-2016-4631. K úspěšnému útoku stačí na telefon nebo tablet oběti zaslat speciálně upravenou zprávu. Problém nastane ve chvíli, kdy uživatel takovouto zprávu na displeji svého jablečného zařízení zobrazí.

Útočník touto cestou získá identifikační údaje o uživateli, které jsou uloženy v zařízení. Stejným způsobem ale může zjistit také uložená hesla k WiFi sítím nebo přihlašovací údaje k e-mailovým schránkám.

Kritická chyba se týká API ImageIO, což je rozhraní používané pro zpracování obrazových dat.

V ohrožení i počítače

Není bez zajímavosti, že stejné API používají také počítače od Applu, tedy stroje s operačním systémem Mac OS X, ale dokonce i chytré hodinky Apple Watch. V budoucnu by tak teoreticky mohli být útočníci schopni napadnout stejným způsobem také tato zařízení.

Podle bezpečnostních expertů z týmu Talos společnosti Cisco, kteří zranitelnost objevili, již byly zaznamenány první útoky, kdy se speciálně upravenou útočnou zprávu snažili kyberzločinci šířit prostřednictvím internetového prohlížeče Safari.

Útok je tolik zákeřný především proto, že uživatelé nemusí nic stahovat. Už pouhým otevřením zprávy vystavují své zařízení riziku. Vhodné je tedy z bezpečnostního hlediska neotvírat zprávy z neznámých zdrojů.

Na riziko útoku nicméně již vývojáři společnosti Apple zareagovali. Po instalaci nejnovějších verzí operačních systémů by měla být všechna jablečná zařízení proti této hrozbě chráněna.