威脅監(jiān)控公司ZecOps本周發(fā)布了一個(gè)“大新聞”，指出：

蘋果公司隨即發(fā)表聲明否認(rèn)這是程序漏洞，而是“方法漏洞”。作為回應(yīng)，ZecOps堅(jiān)持其報(bào)告，并發(fā)表了自己的回應(yīng)，反對(duì)蘋果的聲明。

ZecOps堅(jiān)稱這是Apple iOS Mail應(yīng)用程序中的一個(gè)嚴(yán)重漏洞，攻擊者可以利用該漏洞遠(yuǎn)程感染iPhone，并控制其收件箱。此外，ZecOps不僅發(fā)現(xiàn)攻擊可能在iPhone所有者不知情的情況下發(fā)生，而且觸發(fā)事件已經(jīng)發(fā)生了兩年多了，第一個(gè)觸發(fā)事件隨后于2018年1月被發(fā)現(xiàn)。

本周日，事情再次發(fā)生逆轉(zhuǎn)，蘋果確認(rèn)了該漏洞的存在。

根據(jù)路透社報(bào)道，ZecOps還發(fā)現(xiàn)，與上一代iOS相比，這些“零點(diǎn)擊”攻擊在iOS 13上更容易執(zhí)行。在iOS 12中，實(shí)施攻擊需要iPhone用戶打開惡意電子郵件。但是使用iOS 13時(shí)，只需在后臺(tái)打開Mail應(yīng)用程序即可自動(dòng)觸發(fā)攻擊。

先不要恐慌!

ZecOps指出：“僅這些漏洞就不會(huì)對(duì)iOS用戶造成傷害，因?yàn)楣粽唠S后需要一個(gè)額外的信息泄漏漏洞和一個(gè)內(nèi)核漏洞，才能完全控制目標(biāo)設(shè)備。” 但是研究人員還指出，已經(jīng)發(fā)現(xiàn)多起漏洞利用事件。

即使無法利用ZecOps公開的漏洞對(duì)目標(biāo)設(shè)備進(jìn)行基本控制，攻擊者仍然可以使用Mail漏洞作為發(fā)起侵入式攻擊的第一個(gè)鏈接來構(gòu)建所謂的“漏洞利用鏈”。iOS安全研究人員和Guardian Firewall的創(chuàng)建者Will Strafach指出，盡管Apple和ZecOps僅對(duì)Mail bug的有限實(shí)用性是正確的，但認(rèn)真對(duì)待這些類型的bug仍然很重要。

ZecOps透露，受害者中包括北美一家財(cái)富500強(qiáng)公司的成員，一名日本電信高管、一名歐洲記者以及安全研究者口中的“VIP”。研究人員說，該公司無法直接分析用于發(fā)動(dòng)攻擊的特殊電子郵件，因?yàn)楹诳屠盟麄儷@得的訪問權(quán)限將其從受害者的手機(jī)中刪除。

蘋果已經(jīng)向Vice證實(shí)，它已經(jīng)設(shè)法在最新的iOS 13.4.5 Beta中修復(fù)了該漏洞，并且看起來該公司現(xiàn)在將加快其發(fā)布速度。

在獲得安全補(bǔ)丁之前，ZecOps給出了緩解措施：禁用Mail應(yīng)用程序(Apple 在此處提供指南)，而改用第三方郵件應(yīng)用程序。ZecOps發(fā)現(xiàn)Outlook和Gmail均不容易受到此漏洞的攻擊。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文