Categories
程式開發

iPhone曝出“驚天漏洞”,波及全球超5億部蘋果手機


iPhone曝出“驚天漏洞”,波及全球超5億部蘋果手機 1

近日,網絡安全公司 ZecOps 發布了一份研究報告,報告稱,ZecOps 公司在調查一起客戶網絡攻擊事件中發現 iPhone 和 iPad 存在兩個零日漏洞,其中,漏洞可能影響全球超 5 億部蘋果手機,危害極大。

據悉,這兩個零日漏洞主要與 iPhone 和 iPad 中內置的蘋果官方郵件應用 Mail App 有關。利用上述漏洞,攻擊者可以通過發送空白電子郵件的方式,強制在目標手機上執行任意代碼,從而為攻擊者竊取設備上的數據打開“方便之門”,比如偷取照片和獲取聯繫方式等。

ZecOps 還表示,即使運行著最近的 iOS 版本,漏洞仍然允許攻擊者遠程竊取 iPhone 數據。 “只要是 Mail App 可以訪問的,漏洞都能訪問,包括設備中的機密信息”。

加拿大學術安全研究組織 Citizen Lab 的安全研究者 Bil​​l Marczak 形容上述漏洞“很可怕”。

據路透社報導,一名蘋果公司發言人承認 iPhone 和 iPad 中默認的郵件應用程序 Apple Mail 存在漏洞。蘋果公司計劃開發一個修復程序,並將很快準備發布一個安全更新。

查出大事

據了解,ZecOps 是一家位於舊金山的移動安全公司。在調查一起客戶網絡攻擊事件中,這家公司發現大量可疑且影響 iOS 上默認郵箱應用的事件。之後,ZecOps 分析,這些事件和對漏洞利用的發現還影響蘋果的 iPhone 和 iPad。

iPhone曝出“驚天漏洞”,波及全球超5億部蘋果手機 2

這家公司還查明,長期以來,漏洞的在野利用主要是針對企業用戶、VIPS 和 MSSPs。

作為 ZecOps 的總經理,Zuk Avraham 表示:他已經從利用蘋果 iOS 漏洞的惡意項目中找到相關證據。有兩名獨立的安全研究者,審查了其發現結果,他們認為證據可信,但是也表示它們沒有完全再現其發現成果。

事實上,至少從 2018 年 1 月,這兩個漏洞已經被用於針對 iOS 高級別用戶的系列攻擊行動中。

截至目前,這家公司稱其檢測到針對以下目標的攻擊企圖 / 嘗試:

  • 一家位於北美的財富 500 的企業(員工)

  • 一家日本運營商的高管;

  • 一名德國 VIP;

  • 來自沙特阿拉伯和以色列的 MSSPs;

  • 一名歐洲記者;

  • 一家瑞士企業的高管疑遭攻擊

更多細節

根據 ZecOps 的研究報告,我們得知:這兩個零日漏洞位於蘋果郵件應用程序使用的 MIME 庫中,其中一個漏洞會造成越界讀寫錯誤,另一個漏洞會觸發堆溢出錯誤。並且,這兩個漏洞都是在野外觸發的。

相比第一個漏洞,第二個漏洞危害更大。因為後者可以實現“零點擊”利用,無需用戶與蘋果郵箱應用交互。一旦用戶收到郵件或打開蘋果 Mail App,攻擊即被觸發。 “漏洞允許在 iOS 12 或 iOS 13 中執行遠程代碼,”ZecOps 團隊說,“對漏洞的成功利用將允許攻擊者洩露、修改和刪除受害者設備中的郵件。”

具體而言,在iOS 12 系統中,用戶需要先點擊電子郵件才能觸發該漏洞,但是如果攻擊者控制了郵件服務器,則無需點擊郵件就能實現攻擊;在iOS 13 系統上,一旦在後台打開蘋果Mail 應用程序,就能實現“零點擊”攻擊。

iPhone曝出“驚天漏洞”,波及全球超5億部蘋果手機 3

以色列國防軍前安全研究員 Avraham 對此表示,他懷疑這種黑客技術是一系列惡意程序的一部分,其餘程序未被發現,這可能讓攻擊者擁有完全的遠程訪問權限。

不過,研究者也表示,漏洞對 Gmail 或其他郵件客戶端沒有任何影響。

ZecOps 披露了受影響的 iOS 版本:

  • 所有的 iOS 測試版本(包括 iOS 13.4.1) 都存在這個漏洞;
  • 基於已有的數據表明,iOS 11.2.2 和可能更早的版本更容易觸發 bug。

更嚴重的是,漏洞甚至存在於蘋果 2012 年發布的 iOS 6 中。這意味著,這兩個漏洞至少已經存在 8 年之久,並且影響到目前蘋果幾乎所有的 iOS 版本。不過,除郵件使用速度短暫下降外,用戶卻很難察覺到異常。

在市場上,零日漏洞一直頗受“歡迎”。有一類公司專門收集各類零日漏洞,再高價賣給政府和執法機構等有需求的客戶,比如 Zerodium 公司(它被譽為“網絡軍火商”)。 2015 年,在 Zerodium 舉辦的一場漏洞賞金比賽中,有一名黑客因發現 iOS 9 系統中一個零日漏洞,贏得 100 萬美元的獎金。 2016 年,iOS 10 發布,Zerodium 願意支付 150 萬美元來購買具有同樣功能的零日漏洞。

後來,零日漏洞的收購價不斷提高,Zerodium 在 2019 年更新了零日漏洞價格。其中,iOS 和安卓的 RCE + LPE 非持久性零點擊漏洞此前的收購價是 100 萬美元,如今已上漲到 150 萬美元。

ZecOps 表示,該公司在 1 月 19 日通知蘋果公司,但是 ZecOps 的研究發現被蘋果公司視為一個普通的 bug。

4 月 15 日,在發布的 iOS 13.4.5 beta 中,蘋果添加了針對漏洞的修復程序。

建議舉措

目前,ZecOps 提醒 iOS 用戶注意防範這種攻擊。並且,該公司建議用戶不要使用蘋果 Mail App,可以使用其他郵箱應用,比如 Gmail、Outlook、QQ 郵箱、Foxmail 和網易郵箱等。此外,一旦 iOS 13.4.5 立即可用,他們最好立刻下載安裝最新系統。

更多技術細節,請參見 ZecOps 的研究