情境示意圖,圖片來源/Apple

安全廠商ZecOps周三指出,iOS版Mail程式有2個至少2012年就有的零時差漏洞,可能導致iPhone及iPad用戶被駭而不自知,iOS 6以上的用戶都有風險。所幸蘋果應該即將釋出修補程式。

ZecOps發現iOS Mail中的MIME函式庫未對系統呼叫執行錯誤檢查,可能導致頻外寫入(OOB Write)漏洞,另一為遠端堆積緩衝溢位(Remote Heap Overflow),允許攻擊者於iPhone或iPad執行程式碼,使他們得以竊取、編輯或刪除電子郵件。根據研究人員掌握的資料,攻擊者可傳送有惡意附檔的郵件給用戶,在iOS 12的MobileMail App或是iOS 13的maild觸發漏洞。

研究顯示這批漏洞相當危險。針對iOS 13的攻擊,甚至無需用戶開啟郵件便能觸發,且駭客可重覆感染裝置。在iOS 12上則需用戶點擊郵件,但只要預覽,不用開啟附檔即可見效。而且從郵件伺服器收到信之後卻消失來看,攻擊者可以遠端刪除郵件來隱匿行動。

研究人員指出,這些漏洞各自存在時不會影響iOS用戶,因為駭客需要有別的漏洞來取得裝置控制權。但是他們也發現另一個可能讓駭客存取iOS裝置的核心漏洞,他們也懷疑攻擊者已經取得這類漏洞。

他們偵測到兩個漏洞都已有攻擊行為發生,企業用戶、知名人物被駭了很長一段時間,最早可能追溯到2018年1月。這批受害者包括一家北美財星5百大企業的員工、一家日本電信高層、一名德國重要人物、沙國及以色列資訊安全代管業者(MSSP)及一名歐洲記者。安全公司說,這只是根據極少數資料分析得到的資訊,相信影響勢必更大。

他們認為這些攻擊行為和至少和一個國家贊助的駭客組織有關,或是某國政府使用第三方廠商的概念驗證(POC)攻擊程式修改後發動攻擊。研究人員未指出駭客組織的身份,但表示至少有一家受僱駭客(hacker-for-hire)組織,正在兜售攻擊程式。

幾乎所有iOS版本都受到影響,從2012年的iOS 6到最新的iOS 13.4.1,iOS 6時代主要銷售的是iPhone 5。更早之前的版本或許也有風險,但已不在研究人員測試範圍。根據安全廠商的資料,這些漏洞早在iOS 11.2.2甚至更早以前就被開採。

蘋果未對此研究做出評論。Bleeping Computer報導,蘋果已在4月15日釋出iOS 13.4.5 Beta 2,用戶應該很快就能接獲更新以修補零時差漏洞。


Advertisement

更多 iThome相關內容