最新的IOS 13.4.5測試版中,這些漏洞已經被修復
蘋果公司正計劃修復一個漏洞,此前一家安全公司表示,這個漏洞可能已令超過5億部iPhone易受黑客攻擊,而且iPad上也存在這個漏洞。
■新快報記者 陳學東
前些時候,美國的網絡安全公司ZecOps報告了一個存在於iPhone、iPad等設備默認郵件應用中的漏洞,並且認為可能已經被黑客暗中使用了超過8年,危害5億蘋果用戶的信息安全。對此,蘋果公司於4月24日作出了回應,表示目前尚未發現有黑客利用郵件APP的漏洞進行網絡攻擊。
舊金山移動安全取證公司ZecOps CEO祖克·阿夫拉哈姆(Zuk Avraham)在2019年底對一名客戶受到的複雜網絡攻擊進行調查時發現了這個漏洞,他稱其發現有證據表明,至少有6次網絡安全入侵活動利用了這個漏洞。
阿夫拉哈姆表示,在上述案例中,黑客通過Mail應用向受害者發出一份空白電郵,導致後者的系統崩潰並重置,而系統崩潰令黑客得以竊取照片和聯繫人信息等其他數據。
ZecOps聲稱,即使是基於最新版本iOS系統運行的iPhone,黑客也能利用這個漏洞遠程竊取其數據。該漏洞可令黑客獲取Mail應用有權訪問的任何信息,包括私密消息。
做過以色列國防軍(Israeli Defense Force)安全研究員的阿夫拉哈姆表示,他懷疑上述黑客技術只是一系列惡意程序的一部分,其餘的都還沒被發現,而這些程序可能已讓黑客獲得完全的遠程訪問權限。蘋果公司拒絕就此置評。
阿夫拉哈姆主要是基於“崩潰報告”中的數據而得出結論的,程序在未能成功執行任務時就會生成這種報告。然後,他重新創造了一種可以導致受控崩潰的技術。
兩名獨立安全研究人員對ZecOps的發現進行了審查,認定證據可信,但表示由於時間有限的緣故,他們尚未完全再現ZecOps的發現。
蘋果方面表示,在收到漏洞的報告後,他們的工程師已經對郵件APP進行了徹底的調查,並且確實發現了三個問題漏洞的存在,但是從目前的測試結果來看,這些漏洞並不會對用戶的信息安全造成影響。黑客即使利用了漏洞,最後也無法通過它們繞過iPhone和iPad的內部安全機制,所以實際上並沒有用戶受到影響。
不過,蘋果也指出將會在下個版本的系統推送補丁中對這些漏洞進行修復,根據相關人士透露,在最新的IOS 13.4.5測試版中,這些漏洞已經被修復,正式版將會在數週內推送給用戶。