今天早些時候,舊金山的網絡安全公司ZecOps表示,他們在對客戶設備進行例行的數字取證時,發現了默認的iOS和iPadOS郵件應用中的兩個漏洞。經過進一步的調查,他們發現了有針對性的攻擊證據,他們在週三的一份報告中概述了這兩個漏洞。
這些漏洞允許攻擊者通過利用iOS 12和iOS 13中的MobileMail和Mailid進程,通過使用特別製作的郵件來運行遠程代碼。而且,如果觸發得當,用戶不會知道自己被黑客攻擊。研究人員表示,該漏洞的變體至少可以追溯到iOS 6。
由於該漏洞是在蘋果發出補丁之前用於攻擊用戶的,因此將其視為零日攻擊,通常iOS零日漏洞非常罕見,而且要價非常昂貴。
ZecOps宣稱,其中一個漏洞可以讓攻擊者通過發送消耗大量內存的郵件來遠程感染iOS設備,而另一個漏洞可以允許遠程代碼執行。利用這些漏洞,攻擊者可以洩露、修改和刪除用戶的電子郵件。
據悉,蘋果已經在最新的iOS 13.4.5測試版中修復了安全漏洞。iOS 13.4.5正式版應該會在未來幾周內公開發布。
在此期間,ZecOps建議用戶使用Gmail或Outlook等第三方電子郵件App。
分享到:
