蘋果認為新iOS漏洞未造成立即風險

上周以色列安全廠商ZecOps公告，iOS版Mail軟體有2個零時差攻擊漏洞，可能導致iPhone用戶接到電子郵件就被駭，而且從iOS 6到最新的iOS 13都受影響。蘋果隔天證實安全廠商講的漏洞確實存在，不過對用戶並沒有立即風險。

根據這家安全廠商的研究，新發現的漏洞包括頻外寫入（OOB Write）、遠端堆積緩衝溢位（Remote Heap Overflow）漏洞，以及一個核心漏洞，讓攻擊者只要傳送有惡意附檔的郵件給用戶就能觸發，甚至用戶即使沒有開啟附檔，也會被駭，造成攻擊者遠端執行惡意程式碼，以竊取、編輯或刪除電子郵件。研究人員還宣稱，攻擊者可以遠端刪除郵件來隱匿行動。他們認為有可能是國家資助的駭客組織，策畫了這次行動。

第一時間沒有回應的蘋果，周五發出聲明稿反駁漏洞的說法。蘋果表示向來重視所有安全威脅的報告，而在詳細檢視ZecOps的研究後，他們認為漏洞並不會對用戶帶來立即風險。理由是，研究人員指出Mail的3個漏洞，個別都不足以繞過iPhone及iPad的安全防護，而且蘋果也沒有發現有用戶被攻擊的證據。

事實上，也有其他研究人員對ZecOps研究抱持懷疑。包括Jann Horn與Maddie Stone這兩位Google Project Zero的研究人員認為，該研究主要是根據414141、4141的crash code來判定有惡意郵件，證據太薄弱，而且該郵件最終並沒有找到，卻又被解釋為駭客將之刪除。

批評者認為，如果像ZecOps所言是國家級的駭客，則這些破綻百出的攻擊也太小兒科了，且iOS的漏洞可能也僅為被某些郵件觸發的小漏洞。但是ZecOps人員指出，還發現其他證據，而他們也會再補強說明。

不管這批漏洞是否像ZecOps講的那麼嚴重，蘋果說三項漏洞將很快會透過軟體更新修補。蘋果已在已在4月15日釋出iOS 13.4.5 Beta 2，正式更新預料很快就會釋出。