注意苹果用户!
数百万部iphone和ipad上预装的默认邮件应用程序被发现容易受到两个关键漏洞的攻击,至少在过去两年中,攻击者一直在利用这两个漏洞来监视备受瞩目的受害者。
这些缺陷最终可能会让远程黑客秘密地完全控制苹果设备,只需向任何目标个人发送一封电子邮件,并将其电子邮件帐户登录到易受攻击的应用程序中。
虽然在处理电子邮件内容时会触发这两个漏洞,但第二个漏洞更危险,因为它可以通过“零点击”进行攻击,而无需目标收件人进行交互。
8年苹果零日在野外开发
据研究人员称,在iOS6发布后的8年里,iPhone和iPad的各种型号都存在这两个缺陷,不幸的是,这两个缺陷也影响到目前的iOS13.4.1,常规版本还没有补丁更新。
更令人担忧的是,多个袭击者团体已经利用这些缺陷至少2年,将其作为零日野外攻击目标,攻击来自不同行业和组织的个人、沙特阿拉伯和以色列的MSSP以及欧洲的记者。
研究人员说:“在数据非常有限的情况下,我们能够看到至少有6个组织受到了这种脆弱性的影响,而对这种脆弱性的滥用的范围是巨大的。”。
“虽然ZecOps没有将这些攻击归因于特定的威胁行为体,但我们知道,至少有一个‘雇佣黑客’组织正在利用电子邮件地址作为主要标识符的漏洞来销售。”
研究人员称,苹果用户可能很难知道他们是否成为这些网络攻击的目标,因为事实证明,攻击者在远程访问受害者设备后立即删除恶意电子邮件。
“值得注意的是,尽管数据证实,利用漏洞的电子邮件是由受害者的iOS设备接收和处理的,但本应接收并存储在邮件服务器上的相应电子邮件却丢失了。因此,我们推断这些电子邮件是故意删除的,作为攻击的操作安全清理措施的一部分,”研究人员说。
“除了移动邮件应用程序暂时减速外,用户不应观察到任何其他异常行为。”
需要注意的是,成功利用此漏洞时,该漏洞会在MobileMail或maild应用程序的上下文中运行恶意代码,使攻击者能够“泄漏、修改和删除电子邮件”
但是,要远程完全控制设备,攻击者需要将其与单独的内核漏洞链接在一起。
尽管ZecOps没有提到攻击者使用什么样的恶意软件来攻击用户的细节,但它相信攻击者正在利用这些缺陷和其他内核问题来成功地监视受害者。
当心!尚未提供修补程序
研究人员在两个月前发现了这些野生攻击,并发现了相关的缺陷,并将其报告给了苹果安全团队。
在撰写本文时,只有上周发布的beta 13.4.5版iOS包含针对这两个零日漏洞的安全修补程序。
对于数以百万计的iPhone和iPad用户来说,随着即将发布的iOS更新,一个公共软件补丁将很快面世。
同时,强烈建议苹果用户不要使用智能手机内置的邮件应用程序,而是暂时切换到Outlook或Gmail应用程序。
【内容来源于thehackernews】
