iOS Mail App爆零時差攻擊漏洞 收到信就會被駭!

iPhone及iPad用戶小心!iOS裝置內建的郵件程式被研究人員發現有2個可能存在8年的重大漏洞,且兩年前開始已經被用來攻擊用戶。所幸修補程式應該很快就會釋出。

iPhone及iPad用戶小心!iOS裝置內建的郵件程式被研究人員發現有2個可能存在8年的重大漏洞,且兩年前開始已經被用來攻擊用戶。所幸修補程式應該很快就會釋出。

只要傳送電子信件給已登入Mail App的郵件帳號即可觸發這2個漏洞,最終讓遠端攻擊者暗中存取蘋果裝置,或是編輯、刪改郵件。

根據安全廠商ZecOps指出,這些漏洞存在於Mail App中的MIME函式庫,一是OOB Write (out-of-bound write),二是堆積緩衝記憶體漏洞。兩個漏洞會在處理電子郵件內容過程觸發,其又又以第二個更危險,因為它是零點擊(0-click),即完全不需要使用者有什麼動作。

漏洞可能已存在8年

研究人員指出,從iOS 6到最新的iOS 13.4.1都受這兩個漏洞影響。更令人擔憂的是,駭客至少從2年前就已經用它來攻擊用戶,受害者至少有6家公司,包括北美知名企業、日本電信公司、沙烏地阿拉伯和以色列代管服務業者(MSSP)以及一名歐洲記者。

但是雖然資料證實郵件已由iOS裝置接收並處理,但應該收到並儲存在郵件伺服器上的信件卻消失了,研究人員推測攻擊者可以主動刪除以消滅證據。因此一般用戶幾乎無從得知他們是否已經受害,除了短時間內郵件App變慢之外,用戶應該感受不到任何異常現象。

成功攻擊後,這兩個漏洞可讓駭客可以在MobileMail或maild 應用程式執行惡意程式,以外洩、修補及刪除郵件。不過研究人員也指出,若要接管iOS裝置,駭客還需要另一個核心漏洞,但他們相信駭客已經取得這個漏洞。

ZecOps並未說明駭客傳送的惡意檔案為何,也沒透露攻擊者背景為何,但掌握到至少有一家受僱駭客(hacker-for-hire)組織已經在銷售攻擊工具,以駭入電子郵件外洩的iPhone或iPad用戶。

所幸,蘋果4月15日釋出iOS 13.4.5 beta 2已經包含這兩個漏洞的修補程式,應該很快就能部署給一般用戶。

來源:The Hacker News

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416