苹果确认：几乎所有iPhone都存在一个严重漏洞

即将开播：4月29日，民生银行郭庆谈商业银行金融科技赋能的探索与实践

威胁监控公司ZecOps本周发布了一个“大新闻”，指出：

Apple iOS Mail应用程序中存在三个严重漏洞，可被黑客利用进行零点击攻击(无需用户交互即可实施攻击，通常此类漏洞价格高昂，使用者大多是国家级黑客)。自2012年9月发布iOS 6以来，这些漏洞一直存在于Mail应用程序中，这意味着这个“遗传”了八代iOS的严重漏洞影响着当今使用的几乎所有iPhone。

苹果公司随即发表声明否认这是程序漏洞，而是“方法漏洞”。作为回应，ZecOps坚持其报告，并发表了自己的回应，反对苹果的声明。

ZecOps坚称这是Apple iOS Mail应用程序中的一个严重漏洞，攻击者可以利用该漏洞远程感染iPhone，并控制其收件箱。此外，ZecOps不仅发现攻击可能在iPhone所有者不知情的情况下发生，而且触发事件已经发生了两年多了，第一个触发事件随后于2018年1月被发现。

本周日，事情再次发生逆转，苹果确认了该漏洞的存在。

根据路透社报道，ZecOps还发现，与上一代iOS相比，这些“零点击”攻击在iOS 13上更容易执行。在iOS 12中，实施攻击需要iPhone用户打开恶意电子邮件。但是使用iOS 13时，只需在后台打开Mail应用程序即可自动触发攻击。

先不要恐慌!

ZecOps指出：“仅这些漏洞就不会对iOS用户造成伤害，因为攻击者随后需要一个额外的信息泄漏漏洞和一个内核漏洞，才能完全控制目标设备。” 但是研究人员还指出，已经发现多起漏洞利用事件。

即使无法利用ZecOps公开的漏洞对目标设备进行基本控制，攻击者仍然可以使用Mail漏洞作为发起侵入式攻击的第一个链接来构建所谓的“漏洞利用链”。iOS安全研究人员和Guardian Firewall的创建者Will Strafach指出，尽管Apple和ZecOps仅对Mail bug的有限实用性是正确的，但认真对待这些类型的bug仍然很重要。

ZecOps透露，受害者中包括北美一家财富500强公司的成员，一名日本电信高管、一名欧洲记者以及安全研究者口中的“VIP”。研究人员说，该公司无法直接分析用于发动攻击的特殊电子邮件，因为黑客利用他们获得的访问权限将其从受害者的手机中删除。

苹果已经向Vice证实，它已经设法在最新的iOS 13.4.5 Beta中修复了该漏洞，并且看起来该公司现在将加快其发布速度。

在获得安全补丁之前，ZecOps给出了缓解措施：禁用Mail应用程序(Apple 在此处提供指南)，而改用第三方邮件应用程序。ZecOps发现Outlook和Gmail均不容易受到此漏洞的攻击。

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文