網絡安全公司聲稱,如果使用Apple郵件系統中的兩個漏洞,攻擊者可以遠程訪問,修改或刪除用戶電子郵件。蘋果回應說,電子郵件問題本身不足以使網絡攻擊者繞過其內置的安全措施,並補充說它將很快發佈修復程序。
4月24日,根據國外媒體的報道,蘋果公司對網絡安全研究人員的說法做出了回應,稱在iPhone和iPad的電子郵件應用程序中發現了兩個主要的零日漏洞,它們可能危害全球5億用戶的安全。沒有證據表明黑客利用該漏洞發起了攻擊。
網絡安全公司ZecOps的安全人員在美國當地時間星期三說,他們發現了兩個以前未知的電子郵件漏洞。如果利用了這兩個漏洞,攻擊者可以遠程訪問,修改或刪除用戶電子郵件。蘋果為此進行了調查,並在一份聲明中表示,郵件問題本身不足以使網絡攻擊者繞過其內置的安全措施,並補充說它將很快發佈修復程序。
蘋果表示:“我們已經對研究人員的報告進行了徹底調查,根據他們提供的信息,我們得出結論,這些問題並不會對我們的用戶構成直接風險。研究人員在Mail中發現了三個問題,但它們不足以繞過iPhone和iPad的安全保護,我們還沒有找到任何證據證明它們被用來攻擊客戶。”
蘋果公司繼續表示,該公司非常重視獨立安全研究人員的發現,這些研究人員有助於確保iOS的安全性,並且將來仍將依靠這些人來發現漏洞。蘋果通常會針對每個軟件版本發佈安全更新,以詳細說明已修補的漏洞,併發布發現漏洞的安全研究人員或研究團隊的身份。
正如ZecOps所詳述,黑客可以通過發送精心構造的電子郵件來利用iOS漏洞進行攻擊,從而允許他們運行遠程代碼。儘管在iOS 12中,攻擊需要用戶單擊惡意電子郵件,但在iOS 13中,當在後臺打開郵件時,攻擊將變為零點擊或無輔助的媒介。
ZecOps指出,這些漏洞自iOS 6起就存在,它們是作為有針對性攻擊的一部分而觸發的。該公司在報告中說,目標可能包括北美財富500強公司的員工,日本航空公司的高管和一位歐洲記者。
ZecOps首席執行官Zuk Avraham(Zuk Avraham)說,他發現使用該漏洞至少六次啟動網絡入侵的證據。他表示,他已找到證據證明攻擊者最早在2018年1月使用了此漏洞,但他無法確定黑客是誰。
這些漏洞是在Apple發佈測試版更新時公開披露的。 ZecOps預測,攻擊者“可能會在補丁發佈之前,利用這段時間來攻擊儘可能多的設備。”但是,ZecOps已經確認蘋果最新的iOS 13.4.5 beta修復了該漏洞。
