苹果确认:几乎所有iPhone都存在一个严重漏洞
作者:星期一, 四月 27, 20200

威胁监控公司ZecOps本周发布了一个“大新闻”,指出:

Apple iOS Mail应用程序中存在三个严重漏洞,可被黑客利用进行零点击攻击(无需用户交互即可实施攻击,通常此类漏洞价格高昂,使用者大多是国家级黑客)。自2012年9月发布iOS 6以来,这些漏洞一直存在于Mail应用程序中,这意味着这个“遗传”了八代iOS的严重漏洞影响着当今使用的几乎所有iPhone。

苹果公司随即发表声明否认这是程序漏洞,而是“方法漏洞”。作为回应,ZecOps坚持其报告,并发表了自己的回应,反对苹果的声明。

ZecOps坚称这是Apple iOS Mail应用程序中的一个严重漏洞,攻击者可以利用该漏洞远程感染iPhone,并控制其收件箱。此外,ZecOps不仅发现攻击可能在iPhone所有者不知情的情况下发生,而且触发事件已经发生了两年多了,第一个触发事件随后于2018年1月被发现。

本周日,事情再次发生逆转,苹果确认了该漏洞的存在。

根据路透社报道,ZecOps还发现,与上一代iOS相比,这些“零点击”攻击在iOS 13上更容易执行。在iOS 12中,实施攻击需要iPhone用户打开恶意电子邮件。但是使用iOS 13时,只需在后台打开Mail应用程序即可自动触发攻击。

先不要恐慌!

ZecOps指出:“仅这些漏洞就不会对iOS用户造成伤害,因为攻击者随后需要一个额外的信息泄漏漏洞和一个内核漏洞,才能完全控制目标设备。” 但是研究人员还指出,已经发现多起漏洞利用事件。

即使无法利用ZecOps公开的漏洞对目标设备进行基本控制,攻击者仍然可以使用Mail漏洞作为发起侵入式攻击的第一个链接来构建所谓的“漏洞利用链”。iOS安全研究人员和Guardian Firewall的创建者Will Strafach指出,尽管Apple和ZecOps仅对Mail bug的有限实用性是正确的,但认真对待这些类型的bug仍然很重要。

ZecOps透露,受害者中包括北美一家财富500强公司的成员,一名日本电信高管、一名欧洲记者以及安全研究者口中的“VIP”。研究人员说,该公司无法直接分析用于发动攻击的特殊电子邮件,因为黑客利用他们获得的访问权限将其从受害者的手机中删除。

苹果已经向Vice证实,它已经设法在最新的iOS 13.4.5 Beta中修复了该漏洞,并且看起来该公司现在将加快其发布速度。

在获得安全补丁之前,ZecOps给出了缓解措施:禁用Mail应用程序(Apple 在此处提供指南),而改用第三方邮件应用程序。ZecOps发现Outlook和Gmail均不容易受到此漏洞的攻击。

参考资料

You’ve Got (0-click) Mail!

相关阅读

如何远程越狱一台iPhone X

神秘 iOS 攻击颠覆了对入侵苹果手机的认知

 

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章