零日警告:仅仅通过发送电子邮件就有可能入侵iPhone

发布时间:2020-04-24 10:11:00

  注意苹果用户!

  数百万部iphone和ipad上预装的默认邮件应用程序被发现容易受到两个关键漏洞的攻击,至少在过去两年中,攻击者一直在利用这两个漏洞来监视备受瞩目的受害者。

  这些缺陷最终可能会让远程黑客秘密地完全控制苹果设备,只需向任何目标个人发送一封电子邮件,并将其电子邮件帐户登录到易受攻击的应用程序中。

  据ZecOps的网络安全研究人员称,问题在于远程代码执行缺陷,这些缺陷首先存在于苹果邮件应用程序的MIME库中,原因是一个越界的写错误,其次是堆溢出问题。

  虽然在处理电子邮件内容时会触发这两个漏洞,但第二个漏洞更危险,因为它可以通过“零点击”进行攻击,而无需目标收件人进行交互。

  8年苹果零日在野外开发

  据研究人员称,在iOS6发布后的8年里,iPhone和iPad的各种型号都存在这两个缺陷,不幸的是,这两个缺陷也影响到目前的iOS13.4.1,常规版本还没有补丁更新。

  更令人担忧的是,多个袭击者团体已经利用这些缺陷至少2年,将其作为零日野外攻击目标,攻击来自不同行业和组织的个人、沙特阿拉伯和以色列的MSSP以及欧洲的记者。

  研究人员说:“在数据非常有限的情况下,我们能够看到至少有6个组织受到了这种脆弱性的影响,而对这种脆弱性的滥用的范围是巨大的。”。

  “虽然ZecOps没有将这些攻击归因于特定的威胁行为体,但我们知道,至少有一个‘雇佣黑客’组织正在利用电子邮件地址作为主要标识符的漏洞来销售。”

  研究人员称,苹果用户可能很难知道他们是否成为这些网络攻击的目标,因为事实证明,攻击者在远程访问受害者设备后立即删除恶意电子邮件。

  “值得注意的是,尽管数据证实,利用漏洞的电子邮件是由受害者的iOS设备接收和处理的,但本应接收并存储在邮件服务器上的相应电子邮件却丢失了。因此,我们推断这些电子邮件是故意删除的,作为攻击的操作安全清理措施的一部分,”研究人员说。

  “除了移动邮件应用程序暂时减速外,用户不应观察到任何其他异常行为。”

  需要注意的是,成功利用此漏洞时,该漏洞会在MobileMail或maild应用程序的上下文中运行恶意代码,使攻击者能够“泄漏、修改和删除电子邮件”

  但是,要远程完全控制设备,攻击者需要将其与单独的内核漏洞链接在一起。

  尽管ZecOps没有提到攻击者使用什么样的恶意软件来攻击用户的细节,但它相信攻击者正在利用这些缺陷和其他内核问题来成功地监视受害者。

  当心!尚未提供修补程序

  研究人员在两个月前发现了这些野生攻击,并发现了相关的缺陷,并将其报告给了苹果安全团队。

  在撰写本文时,只有上周发布的beta 13.4.5版iOS包含针对这两个零日漏洞的安全修补程序。

  对于数以百万计的iPhone和iPad用户来说,随着即将发布的iOS更新,一个公共软件补丁将很快面世。

  同时,强烈建议苹果用户不要使用智能手机内置的邮件应用程序,而是暂时切换到Outlook或Gmail应用程序。

  【内容来源于thehackernews】

最新发布
1
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
2
惊!91%的工业企业容易遭受网络攻击
3
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
4
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
5
《中华人民共和国个人信息保护法》审议通过
6
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
7
规范“人脸识别”,为盗刷者戴上“紧箍咒”
8
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9
《网络安全审查办法(修订草案征求意见稿)》解读
10
划重点!《人民法院在线诉讼规则》正在施行中
相关推荐
规范“人脸识别”,为盗刷者戴上“紧箍咒”
Cyberhouse数据泄露:130万名用户信息被免费挂到网上
《中华人民共和国个人信息保护法》审议通过
5.33亿Facebook用户的电话号码在黑客论坛被泄露
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
由于证书过期,Pulse Secure VPN用户无法登录
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
网络钓鱼在2021年第一季度创新高
Google将在Linux版Chrome上推出DoH支持
错误的证书信任关系,导致3000万台戴尔设备面临重大风险