苹果确认:几乎所有iPhone都存在一个严重漏洞

安全 应用安全
威胁监控公司ZecOps本周发布了一个“大新闻”,指出:Apple iOS Mail应用程序中存在三个严重漏洞,可被黑客利用进行零点击攻击(无需用户交互即可实施攻击,通常此类漏洞价格高昂,使用者大多是国家级黑客)。

威胁监控公司ZecOps本周发布了一个“大新闻”,指出:

Apple iOS Mail应用程序中存在三个严重漏洞,可被黑客利用进行零点击攻击(无需用户交互即可实施攻击,通常此类漏洞价格高昂,使用者大多是国家级黑客)。自2012年9月发布iOS 6以来,这些漏洞一直存在于Mail应用程序中,这意味着这个“遗传”了八代iOS的严重漏洞影响着当今使用的几乎所有iPhone。

苹果公司随即发表声明否认这是程序漏洞,而是“方法漏洞”。作为回应,ZecOps坚持其报告,并发表了自己的回应,反对苹果的声明。

ZecOps坚称这是Apple iOS Mail应用程序中的一个严重漏洞,攻击者可以利用该漏洞远程感染iPhone,并控制其收件箱。此外,ZecOps不仅发现攻击可能在iPhone所有者不知情的情况下发生,而且触发事件已经发生了两年多了,第一个触发事件随后于2018年1月被发现。

本周日,事情再次发生逆转,苹果确认了该漏洞的存在。

根据路透社报道,ZecOps还发现,与上一代iOS相比,这些“零点击”攻击在iOS 13上更容易执行。在iOS 12中,实施攻击需要iPhone用户打开恶意电子邮件。但是使用iOS 13时,只需在后台打开Mail应用程序即可自动触发攻击。

先不要恐慌!

ZecOps指出:“仅这些漏洞就不会对iOS用户造成伤害,因为攻击者随后需要一个额外的信息泄漏漏洞和一个内核漏洞,才能完全控制目标设备。” 但是研究人员还指出,已经发现多起漏洞利用事件。

即使无法利用ZecOps公开的漏洞对目标设备进行基本控制,攻击者仍然可以使用Mail漏洞作为发起侵入式攻击的第一个链接来构建所谓的“漏洞利用链”。iOS安全研究人员和Guardian Firewall的创建者Will Strafach指出,尽管Apple和ZecOps仅对Mail bug的有限实用性是正确的,但认真对待这些类型的bug仍然很重要。

ZecOps透露,受害者中包括北美一家财富500强公司的成员,一名日本电信高管、一名欧洲记者以及安全研究者口中的“VIP”。研究人员说,该公司无法直接分析用于发动攻击的特殊电子邮件,因为黑客利用他们获得的访问权限将其从受害者的手机中删除。

苹果已经向Vice证实,它已经设法在最新的iOS 13.4.5 Beta中修复了该漏洞,并且看起来该公司现在将加快其发布速度。

在获得安全补丁之前,ZecOps给出了缓解措施:禁用Mail应用程序(Apple 在此处提供指南),而改用第三方邮件应用程序。ZecOps发现Outlook和Gmail均不容易受到此漏洞的攻击。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文     

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-07-05 14:28:26

微软漏洞攻击

2020-07-30 23:17:45

漏洞网络安全攻击

2023-03-20 20:44:45

2009-11-11 17:15:57

2020-09-01 09:51:13

云安全漏洞攻击

2021-08-12 16:51:04

Windows微软漏洞

2010-10-29 13:22:14

2022-05-31 19:08:07

漏洞网络攻击

2021-07-06 12:24:24

漏洞微软网络安全

2020-05-14 18:50:35

Chrome漏洞浏览器

2021-04-21 09:19:44

装饰器Python

2014-11-06 09:52:33

2013-06-18 09:40:29

BYOD误解

2024-10-10 16:05:04

2022-09-15 12:22:25

cookieDOS 漏洞网络攻击

2022-01-03 07:24:35

苹果 iOS 14漏洞

2016-10-19 09:00:57

漏洞邮箱秘密

2013-05-09 16:10:14

2011-09-28 09:21:24

AppleiPhone

2022-08-22 13:27:25

漏洞网络安全
点赞
收藏

51CTO技术栈公众号