威胁监控公司ZecOps本周发布“大新闻”,指出:苹果iOS邮件应用程序中的三个严重漏洞可被黑客利用进行零点击攻击(攻击可携带在没有用户交互的情况下退出,通常此类漏洞代价高昂,而且用户大多是国家级黑客)。自2012年9月发布iOS6以来,邮件应用程序中就一直存在这些错误,这意味着这个已经“继承”了八代iOS的严重错误几乎影响了当今使用的每一部iPhone。苹果随即发表声明否认这是程序漏洞,而是“方法漏洞”。作为回应,ZecOps坚持其报告并发表了自己的回应,对苹果的声明提出异议。ZecOps坚称这是AppleiOS邮件应用程序中的一个严重缺陷,可能允许攻击者远程感染iPhone并控制其收件箱。此外,ZecOps不仅发现攻击可能在iPhone所有者不知情的情况下发生,而且触发事件已经发生了两年多,随后在2018年1月发现了第一个触发事件。事情在周日再次出现转机,当时Apple证实了该漏洞的存在。据路透社报道,ZecOps还发现这些“零点击”攻击在iOS13上比在上一代iOS上更容易执行。在iOS12中,进行攻击需要iPhone用户打开恶意电子邮件。但在iOS13中,只要在后台打开邮件应用程序就会自动触发攻击。不要惊慌!ZecOps指出,“这些漏洞本身不会对iOS用户造成伤害,因为攻击者需要额外的信息泄露漏洞和内核漏洞才能完全控制目标设备。”但研究人员还指出,已经发现了多起漏洞利用事件。即使不能利用ZecOps披露的漏洞获得对目标设备的基本控制,攻击者仍然可以利用Mail漏洞作为发起入侵攻击的第一环节,构建所谓的“利用链”。iOS安全研究员和GuardianFirewall的创建者WillStrafach指出,虽然Apple和ZecOps关于邮件错误的有限用途是正确的,但认真对待这些类型的错误仍然很重要。ZecOps说,受害者中有一家北美财富500强公司的成员、一名日本电信高管、一名欧洲记者以及安全研究人员所说的“VIP”。研究人员表示,该公司无法直接分析用于发起攻击的特定电子邮件,因为黑客利用他们获得的访问权限将它们从受害者的手机中删除。Apple已经向Vice证实,它已经设法修复了最新的iOS13.4.5beta中的错误,并且看起来该公司现在将加快发布速度。在安全补丁可用之前,ZecOps提供了一种缓解措施:禁用邮件应用程序(Apple在此处提供指导)并改用第三方邮件应用程序。ZecOps发现Outlook和Gmail均不受此漏洞的影响。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
