蘋果確認:幾乎所有iPhone都存在一個嚴重漏洞
威脅監(jiān)控公司ZecOps本周發(fā)布了一個“大新聞”,指出:
| Apple iOS Mail應用程序中存在三個嚴重漏洞,可被黑客利用進行零點擊攻擊(無需用戶交互即可實施攻擊,通常此類漏洞價格高昂,使用者大多是國家級黑客)。自2012年9月發(fā)布iOS 6以來,這些漏洞一直存在于Mail應用程序中,這意味著這個“遺傳”了八代iOS的嚴重漏洞影響著當今使用的幾乎所有iPhone。 |
蘋果公司隨即發(fā)表聲明否認這是程序漏洞,而是“方法漏洞”。作為回應,ZecOps堅持其報告,并發(fā)表了自己的回應,反對蘋果的聲明。
ZecOps堅稱這是Apple iOS Mail應用程序中的一個嚴重漏洞,攻擊者可以利用該漏洞遠程感染iPhone,并控制其收件箱。此外,ZecOps不僅發(fā)現(xiàn)攻擊可能在iPhone所有者不知情的情況下發(fā)生,而且觸發(fā)事件已經(jīng)發(fā)生了兩年多了,第一個觸發(fā)事件隨后于2018年1月被發(fā)現(xiàn)。
本周日,事情再次發(fā)生逆轉,蘋果確認了該漏洞的存在。
根據(jù)路透社報道,ZecOps還發(fā)現(xiàn),與上一代iOS相比,這些“零點擊”攻擊在iOS 13上更容易執(zhí)行。在iOS 12中,實施攻擊需要iPhone用戶打開惡意電子郵件。但是使用iOS 13時,只需在后臺打開Mail應用程序即可自動觸發(fā)攻擊。
先不要恐慌!
ZecOps指出:“僅這些漏洞就不會對iOS用戶造成傷害,因為攻擊者隨后需要一個額外的信息泄漏漏洞和一個內(nèi)核漏洞,才能完全控制目標設備。” 但是研究人員還指出,已經(jīng)發(fā)現(xiàn)多起漏洞利用事件。
即使無法利用ZecOps公開的漏洞對目標設備進行基本控制,攻擊者仍然可以使用Mail漏洞作為發(fā)起侵入式攻擊的第一個鏈接來構建所謂的“漏洞利用鏈”。iOS安全研究人員和Guardian Firewall的創(chuàng)建者Will Strafach指出,盡管Apple和ZecOps僅對Mail bug的有限實用性是正確的,但認真對待這些類型的bug仍然很重要。
ZecOps透露,受害者中包括北美一家財富500強公司的成員,一名日本電信高管、一名歐洲記者以及安全研究者口中的“VIP”。研究人員說,該公司無法直接分析用于發(fā)動攻擊的特殊電子郵件,因為黑客利用他們獲得的訪問權限將其從受害者的手機中刪除。
蘋果已經(jīng)向Vice證實,它已經(jīng)設法在最新的iOS 13.4.5 Beta中修復了該漏洞,并且看起來該公司現(xiàn)在將加快其發(fā)布速度。
在獲得安全補丁之前,ZecOps給出了緩解措施:禁用Mail應用程序(Apple 在此處提供指南),而改用第三方郵件應用程序。ZecOps發(fā)現(xiàn)Outlook和Gmail均不容易受到此漏洞的攻擊。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
