iOS Mail App 爆零時差攻擊漏洞 收到信就會被駭!

iPhone及iPad用戶小心!iOS裝置內建的郵件程式被研究人員發現有2個可能存在8年的重大漏洞,且兩年前開始已經被用來攻擊用戶。所幸修補程式應該很快就會釋出。

iPhone 及 iPad 用戶小心!iOS 裝置內建的郵件程式被研究人員發現有 2 個可能存在 8 年的重大漏洞,且兩年前開始已經被用來攻擊用戶。所幸修補程式應該很快就會釋出。

只要傳送電子信件給已登入 Mail App 的郵件帳號即可觸發這 2 個漏洞,最終讓遠端攻擊者暗中存取蘋果裝置,或是編輯、刪改郵件。

根據安全廠商 ZecOps 指出,這些漏洞存在於 Mail App 中的 MIME 函式庫,一是 OOB Write (out-of-bound write),二是堆積緩衝記憶體漏洞。兩個漏洞會在處理電子郵件內容過程觸發,其又又以第二個更危險,因為它是零點擊(0-click),即完全不需要使用者有什麼動作。

漏洞可能已存在 8 年

研究人員指出,從 iOS 6 到最新的 iOS 13.4.1 都受這兩個漏洞影響。更令人擔憂的是,駭客至少從 2 年前就已經用它來攻擊用戶,受害者至少有 6 家公司,包括北美知名企業、日本電信公司、沙烏地阿拉伯和以色列代管服務業者(MSSP)以及一名歐洲記者。

但是雖然資料證實郵件已由 iOS 裝置接收並處理,但應該收到並儲存在郵件伺服器上的信件卻消失了,研究人員推測攻擊者可以主動刪除以消滅證據。因此一般用戶幾乎無從得知他們是否已經受害,除了短時間內郵件 App 變慢之外,用戶應該感受不到任何異常現象。

成功攻擊後,這兩個漏洞可讓駭客可以在 MobileMail 或 maild 應用程式執行惡意程式,以外洩、修補及刪除郵件。不過研究人員也指出,若要接管 iOS 裝置,駭客還需要另一個核心漏洞,但他們相信駭客已經取得這個漏洞。

ZecOps 並未說明駭客傳送的惡意檔案為何,也沒透露攻擊者背景為何,但掌握到至少有一家受僱駭客(hacker-for-hire)組織已經在銷售攻擊工具,以駭入電子郵件外洩的 iPhone 或 iPad 用戶。

所幸,蘋果 4 月 15 日釋出 iOS 13.4.5 beta 2 已經包含這兩個漏洞的修補程式,應該很快就能部署給一般用戶。

來源:The Hacker News

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416