龙哥又见世界
相对封闭的iOS系统一直以其安全性而闻名,但严格来说,信息安全领域没有绝对的安全性,甚至iOS也会存在漏洞。
例如,安全公司ZECOPS宣布了iOS系统的最新安全漏洞。从iOS 6到最新版本iOS 13.4.1均存在此安全漏洞。
经过评估,研究人员认为漏洞非常有害,因此他们已紧急联系Apple进行修复。
该漏洞允许远程执行代码,攻击者可以通过发送垃圾邮件来远程感染目标设备,并且用户在受到攻击时没有明显的感知。攻击者在尝试攻击和感染时不需要用户执行任何交互式操作。
攻击原理主要是通过邮件耗尽目标设备的内存来触发漏洞。有很多方法可以耗尽内存,例如邮件轰炸或恶意代码。
堆栈溢出漏洞被广泛使用,攻击者可以使用该漏洞触发甚至秘密感染目标设备,而无需从目标设备下载完整的电子邮件。
电子邮件的内容可以在不残留在设备上的情况下被利用,因此很难发现异常,攻击者还可以通过其他方式自动清除电子邮件。
在iOS 13.x系列上,只要系统自己的邮件应用程序在后台运行,在这种情况下,无需用户干预即可入侵攻击者。
在iOS 12.x系列上,攻击者需要用户打开垃圾邮件来利用此漏洞,但用户在打开电子邮件时不会发现任何异常。
如果攻击者能够控制邮件服务器,则即使iOS 12.x系列也不需要用户操作,即直接邮件可能会被感染。
该漏洞出现在2012年发布iPhone 5时发布的iOS 6.0版本中,并且该漏洞仍然存在于最新的iOS 13.4.1版本中。
据研究人员称,Apple已在iOS 13.4.5 Beta版本中修复了该漏洞,但该版本尚未推送到官方渠道。
建议用户不要使用iOS系统随附的邮件应用程序。第三方邮件应用程序(例如Outlook和Gmail)的使用不会受到影响。
另外,苹果公司已经在后端服务器上部署了缓解措施,应该能够拦截目标恶意邮件,但这只是一个临时解决方案。
可以在没有用户交互的情况下被iOS系统感染的漏洞的购买价通常在100万美元左右。这次发现了这种非交互式漏洞。
不幸的是,经过长时间的调查,安全公司发现该漏洞至少自2018年1月以来就已经被利用,并且已经形成了相当广泛的攻击。
黑客的目标包括北美的财富500强企业家,日本航空公司的高管,德国的VIP,沙特阿拉伯和以色列的安全公司以及欧洲新闻工作者。
此外,该安全公司的调查还显示,瑞士公司高管也可能成为黑客的目标,但在现阶段,没有足够的证据确定攻击是否成功。
从以上攻击目标来看,此漏洞的价值已远远超过一百万美元,甚至可以毫不夸张地说,该漏洞的应用价值已超过一亿美元。
经过有针对性的分析,安全研究人员发现Apple Mail漏洞主要是由于库缺少用于系统级调用的必要错误检查过程所致。
漏洞可能导致越界写入,并且还存在一个远程触发的堆栈溢出问题,因此,实际上,这由两个漏洞组成,并且都被利用。
出于安全原因,研究人员没有透露该漏洞的更多细节,但研究人员分享了iPhone受到攻击时发生的情况。
如果在iOS 12.x系列上收到攻击者发送的电子邮件,则邮件应用程序可能会崩溃。这是迄今为止已知的唯一异常表现。
在iOS 13.x系列上接收电子邮件的用户可能会突然发现在打开电子邮件时系统被卡住了,他们会发现系统提示消息中没有内容。
对代码级分析感兴趣的用户可以单击此处查看。Apple完全修复了漏洞后,研究人员应宣布更多详细信息。
你看我独角兽吗
苹果的iOS一向以其安全性和流畅性受到广大网友的喜爱,尤其是国内一二线城市的“成功人士”甚至以使用iPhone为身份的象征。但是,最近却有爆料称苹果iOS出现巨大的系统漏洞,而且这个漏洞持续了长达8年之久。
苹果iOS系统被曝出现系统漏洞
近日,国外的安全团队ZecOps公布了一个关于iOS系统的漏洞,几乎所有的iPhone和iPad都有可能中招,涉及的系统版本从iOS6到iOS13.4.1,几乎实现了整个在用iPhone和iPad的全覆盖。
除此之外,这个漏洞并不需要iOS用户点击任何链接或者其它的操作,黑客只需要远程发送一些带有可远程执行的代码就可以掌握用户备上的所有权限,然后肆无忌惮地对用户iPhone(或者iPad)进行许多操作。这样一来,只要使用iOS系统的用户都有可能随时被黑客攻击。
不过,也有消息表明,黑客已经利用这一漏洞攻击了不少的设备,但并不是所有用户都是他们的攻击对象。安全团队发现,黑客一般不会闲得攻击我们平民百姓,主要集中于企业高管和国外记者都设备上,看到这里,紧张的心是不是突然放下了。看来对于我们普通人来说,连被攻击的资格都没有。
被攻击后会出现什么症状
苹果iOS的这个漏洞主要是针对系统自带的邮件APP,所以被攻击后主要的一些症状都是集中在邮件APP上。具体表现为,手机邮件 App 暂时的速度下降,在部分情况下会出现手机资源耗尽而意外重启。
所以,如果不是经常使用iOS自带邮件APP的话,很难发现任何的异常情况。
漏洞紧急修补
目前已知的情况是,该安全团队已经于今年2月份就向苹果公司报告了这个漏洞,而苹果公司也在刚刚过去的4 月 15 日发布了iOS13.4.5 beta 2 版本,其中就包含了针对这个漏洞的修复补丁。
尽管对于大多数普通老百姓不是黑客攻击的对象,但是基本的安全意识还是要有的。所以,如果条件允许的话还是建议将iOS系统升级一下,毕竟有备无患。如果实在无法升级的话,建议就不要使用系统自带的这个邮件APP了。
最后,小雨想说的是主打系统安全的苹果iOS都被曝光出了这样持续时间长达8年的系统漏洞,那我们大多数使用的安卓手机又会怎样呢?
电脑手机那些事儿
iOS属于封闭系统。也就是说,绝大部分人,包括绝大部分程序员,看不到它的代码。
理论上,看到代码的人越多,发现代码的安全问题就会越多。反之,就会越少。
因此,iOS一旦被发现漏洞,很有可能绝大多数人不知道。或者说就发现的人自己知道。
而iOS的设备数量在十亿这个级别,发现一个漏洞,相当于多了十亿个肉鸡可以随便吃。
富豪被攻击,只是被发现了而已。没有被发现的肯定更多。
就好像你发现家里有一只蟑螂的时候,家里实际上可能有上千只。
所以,苹果的漏洞,只会越来越多。这和苹果公司是否希望保护客户隐私无关。
