蘋果電郵應(yīng)用驚現(xiàn)安全漏洞！或被黑客利用了八年

網(wǎng)易科技訊 4月23日消息，據(jù)外媒報(bào)道，美國網(wǎng)絡(luò)安全公司ZecOps的研究人員于當(dāng)?shù)貢r(shí)間周三宣布，他們?cè)谔O果iPhone和iPad的電子郵件應(yīng)用程序中發(fā)現(xiàn)了兩個(gè)零日漏洞。

研究人員說，這兩個(gè)漏洞的變體甚至可以追溯到2012年發(fā)布的iOS 6身上，這意味著黑客已經(jīng)利用它們對(duì)iPhone和iPad用戶進(jìn)行了長達(dá)八年的攻擊。如果設(shè)備被感染，用戶甚至不知道他們正在被黑客攻擊。

第一個(gè)漏洞允許黑客通過發(fā)送消耗大量內(nèi)存的電子郵件來感染iOS設(shè)備，它本身并不會(huì)給用戶帶來太大風(fēng)險(xiǎn)，只允許攻擊者泄露、修改或刪除電子郵件。但它們?cè)诩幢闶亲钚掳姹镜膇OS中也依然有效，黑客利用郵件應(yīng)用程序可以訪問的任何內(nèi)容，包括機(jī)密消息。

第二個(gè)漏洞則利用蘋果的MobileMail和Mailid進(jìn)程來運(yùn)行遠(yuǎn)程代碼。與另一種內(nèi)核攻擊(如無法打補(bǔ)丁的Checkm8漏洞)相結(jié)合，這個(gè)漏洞可能會(huì)允許攻擊者以超級(jí)用戶身份訪問特定目標(biāo)設(shè)備。

ZecOps在其報(bào)告中發(fā)現(xiàn)，有些客戶已經(jīng)成為目標(biāo)。有趣的是，雖然有證據(jù)表明這些漏洞是在目標(biāo)設(shè)備上執(zhí)行的，但電子郵件本身并不存在危險(xiǎn)。這表明襲擊者刪除這些電子郵件是為了掩蓋他們的蹤跡。

安全研究人員表示，與其他黑客相比，該漏洞相對(duì)來說還不夠完善，這意味著經(jīng)驗(yàn)豐富的攻擊者可能會(huì)認(rèn)為，使用該漏洞對(duì)付重要目標(biāo)風(fēng)險(xiǎn)太大。

盡管如此，ZecOps指出，使用這些漏洞的攻擊可能會(huì)增加，因?yàn)樗鼈儸F(xiàn)在被公開披露，這意味著正常用戶最終也可能成為攻擊目標(biāo)。如果利用這些漏洞的網(wǎng)絡(luò)犯罪分子可以利用額外的漏洞，那么這種情況就會(huì)變得更加危險(xiǎn)。

這些漏洞只影響本地郵件應(yīng)用程序，而不影響第三方應(yīng)用程序。為了降低遭到攻擊的風(fēng)險(xiǎn)，ZecOps建議用戶在發(fā)布補(bǔ)丁之前停止使用iOS和iPadOS上的Mail，轉(zhuǎn)而使用第三方電郵應(yīng)用。

ZecOps表示，它在2月份提醒蘋果注意這些漏洞。自那以后，這兩個(gè)漏洞都已經(jīng)在iOS 13的最新測(cè)試版中得到了修復(fù)，iOS和iPadOS 13.4.5的下一次公開發(fā)布的iOS更新中也將添加補(bǔ)丁。（小小）