蘋果電郵應(yīng)用驚現(xiàn)安全漏洞！或被黑客利用了八年

網(wǎng)易科技訊4月23日消息，據(jù)媒體報道，美國網(wǎng)絡(luò)安全公司ZecOps的研究人員當(dāng)?shù)貢r間周三宣布，他們在蘋果iPhone和iPad電子郵件應(yīng)用程序中發(fā)現(xiàn)了兩個零日漏洞。

研究人員說，這兩種漏洞的變種甚至可以追溯到2012年發(fā)布的iOS 6，這意味著黑客利用它們攻擊iPhone和iPad用戶長達(dá)8年之久。如果設(shè)備被感染，用戶甚至不知道自己被黑客攻擊。螺桿泵

第一個漏洞允許黑客通過發(fā)送消耗大量內(nèi)存的電子郵件來感染iOS設(shè)備。它不會給用戶帶來太大的風(fēng)險，只允許攻擊者泄露、修改或刪除電子郵件。但即使是最新版本的iOS，它們?nèi)匀挥行?，黑客可以使用電子郵件應(yīng)用程序訪問任何內(nèi)容，包括機密消息。不銹鋼磁力泵

第二個漏洞使用蘋果的MobileMail和Mailid進(jìn)程運行遠(yuǎn)程代碼。再加上另一個內(nèi)核攻擊（例如無法修補的Checkm8漏洞），此漏洞可使攻擊者以超級用戶身份訪問特定目標(biāo)設(shè)備。

ZecOps在報告中發(fā)現(xiàn)，一些客戶已經(jīng)成為目標(biāo)。有趣的是，盡管有證據(jù)表明這些漏洞是在目標(biāo)設(shè)備上執(zhí)行的，但電子郵件本身并不危險。這表明攻擊者刪除了這些電子郵件以掩蓋其蹤跡。計量泵

安全研究人員說，與其他黑客相比，該漏洞相對不完整，這意味著有經(jīng)驗的攻擊者可能認(rèn)為利用該漏洞處理重要目標(biāo)風(fēng)險太大。

然而，ZecOps指出，使用這些漏洞的攻擊可能會增加，因為它們現(xiàn)在已經(jīng)公開，這意味著正常用戶可能最終成為攻擊的目標(biāo)。如果利用這些漏洞的網(wǎng)絡(luò)罪犯可以利用其他漏洞，那么這種情況就變得更加危險。離心泵

這些漏洞只影響本地郵件應(yīng)用程序，而不影響第三方應(yīng)用程序。為了降低被攻擊的風(fēng)險，ZecOps建議用戶在發(fā)布修補程序之前停止在iOS和iPadOS上使用郵件，并使用第三方電子郵件應(yīng)用程序。排污泵

ZecOps說，它在2月份提醒了蘋果這些漏洞。從那時起，這兩個漏洞都已在最新的iOS 13測試版中修復(fù)，并將在iOS和iPadOS 13.4.5下一次公開發(fā)布的iOS更新中添加修補程序。