4006-555-883

零日警告:仅仅通过发送电子邮件就有可能入侵iPhone

发布时间:2020-04-24 10:11:00

  注意苹果用户!

  数百万部iphone和ipad上预装的默认邮件应用程序被发现容易受到两个关键漏洞的攻击,至少在过去两年中,攻击者一直在利用这两个漏洞来监视备受瞩目的受害者。

  这些缺陷最终可能会让远程黑客秘密地完全控制苹果设备,只需向任何目标个人发送一封电子邮件,并将其电子邮件帐户登录到易受攻击的应用程序中。

  据ZecOps的网络安全研究人员称,问题在于远程代码执行缺陷,这些缺陷首先存在于苹果邮件应用程序的MIME库中,原因是一个越界的写错误,其次是堆溢出问题。

  虽然在处理电子邮件内容时会触发这两个漏洞,但第二个漏洞更危险,因为它可以通过“零点击”进行攻击,而无需目标收件人进行交互。

  8年苹果零日在野外开发

  据研究人员称,在iOS6发布后的8年里,iPhone和iPad的各种型号都存在这两个缺陷,不幸的是,这两个缺陷也影响到目前的iOS13.4.1,常规版本还没有补丁更新。

  更令人担忧的是,多个袭击者团体已经利用这些缺陷至少2年,将其作为零日野外攻击目标,攻击来自不同行业和组织的个人、沙特阿拉伯和以色列的MSSP以及欧洲的记者。

  研究人员说:“在数据非常有限的情况下,我们能够看到至少有6个组织受到了这种脆弱性的影响,而对这种脆弱性的滥用的范围是巨大的。”。

  “虽然ZecOps没有将这些攻击归因于特定的威胁行为体,但我们知道,至少有一个‘雇佣黑客’组织正在利用电子邮件地址作为主要标识符的漏洞来销售。”

  研究人员称,苹果用户可能很难知道他们是否成为这些网络攻击的目标,因为事实证明,攻击者在远程访问受害者设备后立即删除恶意电子邮件。

  “值得注意的是,尽管数据证实,利用漏洞的电子邮件是由受害者的iOS设备接收和处理的,但本应接收并存储在邮件服务器上的相应电子邮件却丢失了。因此,我们推断这些电子邮件是故意删除的,作为攻击的操作安全清理措施的一部分,”研究人员说。

  “除了移动邮件应用程序暂时减速外,用户不应观察到任何其他异常行为。”

  需要注意的是,成功利用此漏洞时,该漏洞会在MobileMail或maild应用程序的上下文中运行恶意代码,使攻击者能够“泄漏、修改和删除电子邮件”

  但是,要远程完全控制设备,攻击者需要将其与单独的内核漏洞链接在一起。

  尽管ZecOps没有提到攻击者使用什么样的恶意软件来攻击用户的细节,但它相信攻击者正在利用这些缺陷和其他内核问题来成功地监视受害者。

  当心!尚未提供修补程序

  研究人员在两个月前发现了这些野生攻击,并发现了相关的缺陷,并将其报告给了苹果安全团队。

  在撰写本文时,只有上周发布的beta 13.4.5版iOS包含针对这两个零日漏洞的安全修补程序。

  对于数以百万计的iPhone和iPad用户来说,随着即将发布的iOS更新,一个公共软件补丁将很快面世。

  同时,强烈建议苹果用户不要使用智能手机内置的邮件应用程序,而是暂时切换到Outlook或Gmail应用程序。

  【内容来源于thehackernews】

最新发布
1
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
2
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
3
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
4
5年损失超430亿美元!你的电子邮件系统还安全吗?
5
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
6
4亿多条用户信息被盗,企业网站信息安全如何防护?
7
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?
8
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
9
国家新安全技术标准发布!公有云个人信息保护成关注焦点
10
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
相关推荐
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
5年损失超430亿美元!你的电子邮件系统还安全吗?
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
国家新安全技术标准发布!公有云个人信息保护成关注焦点