近日,外國安全研究人員 ZecOps 發現在 Apple iOS 中預設的郵件 APP 內,存在 2 個嚴重的漏洞。其一更屬於無交互漏洞,可在無與使用者互動的情況下被利用。這些漏洞從 iOS 6 到最新的 iOS 13.4.1 皆能發現,存在超過 8 年。
研究人員還發現有多個黑客組織已利用這些漏洞對沙特阿拉伯、以色列和歐洲的不同行業、組織進行攻擊,包括:記者、MSSP 等。據悉漏洞已作爲 0-day 漏洞被利用超過 2 年之長。不過 ZecOps 強調,只有 iPhone 或 iPad 的預設郵件 APP 存在該漏洞,MacOS 系統則沒有此問題,Gmail 或 Outlook 等服務也沒有涉及這個風險。
利用這個 0-day 漏洞,黑客可針對目標發送一封表示完全空白的 Email,強制令系統死機,並能取得手機內部圖片、電話號碼等資料的渠道,即使是最新版的 iOS 也無法倖免。這封表面空白的郵件,實際上容量極巨大,傳送時有可能會被服務商自動攔截,不一定能到達目標手中。
即使 Apple 對 ZecOps 的研究報告不予置評,但其發言人坦承,iPhone 及 iPad 預設的郵件 APP 存在漏洞。鑑於事態嚴重,Apple 已經開始行動,目前已在測試版中的 iOS 系統加入修補更新。