恐怖iOS Mail漏洞?蘋果:沒有立即風險

上星期安全廠商ZecOps揭露iOS裝置內建的Mail郵件程式存在不用點擊,只要收到信就會被駭的重大漏洞。不過蘋果表示看過研究後,認為對iPhone或iPad用戶應該沒有立即風險。

上星期安全廠商ZecOps揭露iOS裝置內建的Mail郵件程式存在不用點擊,只要收到信就會被駭的重大漏洞。不過蘋果表示看過研究後,認為對iPhone或iPad用戶應該沒有立即風險。

研究人員指出,iOS Mail版本有2個可能存在8年的重大漏洞,另有一個核心漏洞,結合起來可使遠端攻擊者暗中存取蘋果裝置,或是編輯、刪改郵件,其中以第2個最危險,因為它是零點擊(0-click),即完全不需要使用者有什麼動作。此外,他們相信攻擊者可以主動刪除以消滅證據,一般用戶無從得知他們是否已經受害。研究人員也推測最早從2年前就有企業用戶被攻擊。

蘋果評估後認為iOS Mail漏洞不嚴重

不過蘋果上周五發出聲明稿指出:「經過仔細調查研究人員的報告,蘋果認為這些漏洞並未對用戶構成立即風險。研究人員發現Mail應用程式的漏洞,每一個都不足以繞過iPhone和iPad的安全保護,而且蘋果未發現有人利用漏洞攻擊用戶的證據。這些問題很快就會在軟體更新中獲得解決。」

不少獨立研究人員也對ZecOps提出質疑。一般批評在於該公司提出的證據不具說服力。他們因為惡意郵件不見了,推論是駭客為了湮滅證據而刪掉,並在錯誤報告(crash log)中留下紀錄。

但批評者認為,如果駭客能刪掉電子郵件,為什麼不刪掉錯誤報告的資料呢?若如研究人員推測是國家資助的駭客攻擊,應該根本不會留下痕跡。所謂的漏洞可能只是良性的,是特定類型的郵件觸發。另外也有研究人員認為,或許正因系統發生錯誤,才阻止了一個新的iOS漏洞的零時差攻擊。不過ZecOps創辦人暨執行長Zuk Avraham仍然對其研究抱持信心。

不論報告的品質如何,ZecOps的作法已引起爭議,因為他們並未先通報蘋果就逕自向媒體發佈消息。

所幸蘋果已經在4月15日釋出iOS 13.4.5 Beta 2版解決上述漏洞,意謂著更新版很快就會發佈給所有iPhone和iPad用戶。

來源:Ars Technica

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416