近日,位于悉尼的网络安全公司ZecOps发布了一则通知函,代表他们在对客户设备开展例行的罗马数字取证时,在iOS和iPadOS的默认设置邮件应用中的发现了2个全新的漏洞。而且,经由安全人员的进一步调查,他们发现已经有应对该漏洞开展主动攻击的证据,然后他们在周一的这份汇报中分析了这2个漏洞,而且在此之前已经第一时间通知了苹果公司。
本报讯,这2个漏洞同意黑客采用iOS 12和iOS 13中的MobileMail和Mailid2个系统进程,在发送到特别制作的邮件后系统会自动执行邮件中的远程代码。而且,只是处理得当,用户根本不要得知自已被黑客主动攻击。ZecOps的探讨人员代表,该漏洞的最初可以大体上iOS 6时代,已经存在了许久。
而言这类已被采用且没有微软补丁的漏洞,通常称作零日漏洞,不管是在黑市在哪或是苹果公司的漏洞悬赏中,iOS系统的零日漏洞都怀有极低的售价,发现者上报苹果后可以获得丰富的奖励。
根据ZecOps的表述,其中有一个漏洞用以让黑客能够发送到损耗大量内存的邮件来远程感柒iOS设备,另有一个漏洞则同意邮件中的远程代码被静默执行。采用2个漏洞的组成主动攻击,黑客可以泄漏、改动和删除IOS用户的加锁电子邮件。
苹果公司代表,已经在最新的iOS 13.4.4公测版中修复了该安全漏洞,直接会在未來的数月内发布iOS 13.4.4最新版本。
在补丁发布前,ZecOps建议IOS用户采用Gmail或Outlook等第三方电子邮件App来避免给予黑客主动攻击。