当前位置: 首页 > 科技观察

AppleEmailApp发现安全漏洞!或已被黑客利用八年

时间:2023-03-12 18:08:09 科技观察

(原标题:两个AppleMail漏洞被用于针对iPhone、iPad用户)4月23日消息,据外媒报道,美国网络安全公司ZecOps的研究人员周三在当地报道time宣布,他们在Apple的iPhone和iPad电子邮件应用程序中发现了两个零日漏洞。研究人员表示,这两个漏洞的变体甚至可以追溯到2012年发布的iOS6,这意味着八年来黑客一直在使用它们来针对iPhone和iPad用户。如果设备被感染,用户甚至不知道他们被黑客入侵了。第一个漏洞允许黑客通过发送占用大量内存的邮件感染iOS设备,它本身对用户的风险很小,只允许攻击者泄露、修改或删除邮件。但即使是在最新版本的iOS中,它们仍然可以正常工作,而且黑客会利用Mail应用程序可以访问的任何内容,包括机密消息。第二个漏洞利用Apple的MobileMail和Mailid进程来运行远程代码。结合另一种类型的内核漏洞,例如无法修补的Checkm8漏洞,此漏洞可能允许攻击者获得对特定目标设备的超级用户访问权限。在其报告中,ZecOps发现一些客户已成为攻击目标。有趣的是,虽然有证据表明这些攻击是在目标设备上执行的,但电子邮件本身并不危险。这表明攻击者删除了电子邮件以掩盖他们的踪迹。安全研究人员表示,与其他黑客相比,该漏洞相对不成熟,这意味着经验丰富的攻击者可能认为使用它来攻击重要目标的风险太大。不过,ZecOps指出,由于这些漏洞现在已公开披露,因此利用这些漏洞进行的攻击可能会增加,这意味着普通用户最终也可能成为攻击目标。如果利用这些漏洞的网络犯罪分子可以使用其他漏洞,情况会变得更加危险。这些漏洞仅影响本机邮件应用程序,不影响第三方应用程序。为了降低被攻击的风险,ZecOps建议用户在补丁发布前停止在iOS和iPadOS上使用Mail,转而使用第三方邮件应用。ZecOps表示,它已在2月份提醒苹果注意这些漏洞。这两个错误都已在最新的iOS13测试版中得到修复,下一次针对iOS和iPadOS的公开iOS更新至13.4.5也将添加此修复程序。