恐怖iOS Mail漏洞？蘋果：沒有立即風險

上星期安全廠商ZecOps揭露iOS裝置內建的Mail郵件程式存在不用點擊，只要收到信就會被駭的重大漏洞。不過蘋果表示看過研究後，認為對iPhone或iPad用戶應該沒有立即風險。

研究人員指出，iOS Mail版本有2個可能存在8年的重大漏洞，另有一個核心漏洞，結合起來可使遠端攻擊者暗中存取蘋果裝置，或是編輯、刪改郵件，其中以第2個最危險，因為它是零點擊（0-click），即完全不需要使用者有什麼動作。此外，他們相信攻擊者可以主動刪除以消滅證據，一般用戶無從得知他們是否已經受害。研究人員也推測最早從2年前就有企業用戶被攻擊。

蘋果評估後認為iOS Mail漏洞不嚴重

不過蘋果上周五發出聲明稿指出：「經過仔細調查研究人員的報告，蘋果認為這些漏洞並未對用戶構成立即風險。研究人員發現Mail應用程式的漏洞，每一個都不足以繞過iPhone和iPad的安全保護，而且蘋果未發現有人利用漏洞攻擊用戶的證據。這些問題很快就會在軟體更新中獲得解決。」

不少獨立研究人員也對ZecOps提出質疑。一般批評在於該公司提出的證據不具說服力。他們因為惡意郵件不見了，推論是駭客為了湮滅證據而刪掉，並在錯誤報告（crash log）中留下紀錄。

但批評者認為，如果駭客能刪掉電子郵件，為什麼不刪掉錯誤報告的資料呢？若如研究人員推測是國家資助的駭客攻擊，應該根本不會留下痕跡。所謂的漏洞可能只是良性的，是特定類型的郵件觸發。另外也有研究人員認為，或許正因系統發生錯誤，才阻止了一個新的iOS漏洞的零時差攻擊。不過ZecOps創辦人暨執行長Zuk Avraham仍然對其研究抱持信心。

不論報告的品質如何，ZecOps的作法已引起爭議，因為他們並未先通報蘋果就逕自向媒體發佈消息。

所幸蘋果已經在4月15日釋出iOS 13.4.5 Beta 2版解決上述漏洞，意謂著更新版很快就會發佈給所有iPhone和iPad用戶。

來源：Ars Technica