快捷导航 
时间:2020-04-24 17:33:59来源:融易新媒体
近日,融易新媒体,位于旧金山的网络安全公司ZecOps发布了一则通告,表示他们在对客户设备进行例行的数字取证时,在iOS和iPadOS的默认邮件应用中的发现了两个全新的漏洞。而且,经过安全人员的进一步调查,他们发现已经有针对该漏洞进行攻击的证据,随后他们在周三的一份报告中概述了这两个漏洞,并且在此之前已经第一时间告知了苹果公司。
据悉,这两个漏洞允许黑客利用iOS 12和iOS 13中的MobileMail和Mailid两个进程,在发送特别制作的邮件后系统会自动执行邮件中的远程代码。而且,只要处理得当,用户根本不会知道自己被黑客攻击。ZecOps的研究人员表示,该漏洞的最早可以追溯到iOS 6时代,已经存在了许久。
对于这种已被利用且没有安全补丁的漏洞,一般称之为零日漏洞,不管是在黑市还是苹果公司的漏洞悬赏中,iOS系统的零日漏洞都有着极高的价格,发现者上报苹果后可以获得丰厚的奖励。
根据ZecOps的描述,其中一个漏洞用于让黑客能够发送消耗大量内存的邮件来远程感染iOS设备,另一个漏洞则允许邮件中的远程代码被静默执行。利用两个漏洞的组合攻击,黑客可以泄露、修改和删除IOS用户的加密电子邮件。
苹果公司表示,已经在最新的iOS 13.4.5测试版中修复了该安全漏洞,同时会在未来的数周内发布iOS 13.4.5正式版。
在补丁发布前,ZecOps建议IOS用户使用Gmail或Outlook等第三方电子邮件App来避免受到黑客攻击。
