示意圖,圖片來源/蘋果

上周以色列安全廠商ZecOps公告,iOS版Mail軟體有2個零時差攻擊漏洞,可能導致iPhone用戶接到電子郵件就被駭,而且從iOS 6到最新的iOS 13都受影響。蘋果隔天證實安全廠商講的漏洞確實存在,不過對用戶並沒有立即風險。

根據這家安全廠商的研究,新發現的漏洞包括頻外寫入(OOB Write)、遠端堆積緩衝溢位(Remote Heap Overflow)漏洞,以及一個核心漏洞,讓攻擊者只要傳送有惡意附檔的郵件給用戶就能觸發,甚至用戶即使沒有開啟附檔,也會被駭,造成攻擊者遠端執行惡意程式碼,以竊取、編輯或刪除電子郵件。研究人員還宣稱,攻擊者可以遠端刪除郵件來隱匿行動。他們認為有可能是國家資助的駭客組織,策畫了這次行動。

第一時間沒有回應的蘋果,周五發出聲明稿反駁漏洞的說法。蘋果表示向來重視所有安全威脅的報告,而在詳細檢視ZecOps的研究後,他們認為漏洞並不會對用戶帶來立即風險。理由是,研究人員指出Mail的3個漏洞,個別都不足以繞過iPhone及iPad的安全防護,而且蘋果也沒有發現有用戶被攻擊的證據。

事實上,也有其他研究人員對ZecOps研究抱持懷疑。包括Jann HornMaddie Stone這兩位Google Project Zero的研究人員認為,該研究主要是根據414141、4141的crash code來判定有惡意郵件,證據太薄弱,而且該郵件最終並沒有找到,卻又被解釋為駭客將之刪除。

批評者認為,如果像ZecOps所言是國家級的駭客,則這些破綻百出的攻擊也太小兒科了,且iOS的漏洞可能也僅為被某些郵件觸發的小漏洞。但是ZecOps人員指出,還發現其他證據,而他們也會再補強說明。

不管這批漏洞是否像ZecOps講的那麼嚴重,蘋果說三項漏洞將很快會透過軟體更新修補。蘋果已在已在4月15日釋出iOS 13.4.5 Beta 2,正式更新預料很快就會釋出。


Advertisement

更多 iThome相關內容