作者丨萬佳
近日,網絡安全公司 ZecOps 發布了一份研究報告,報告稱,ZecOps 公司在調查一起客戶網絡攻擊事件中發現 iPhone 和 iPad 存在兩個零日漏洞,其中,漏洞可能影響全球超 5 億部蘋果手機,危害極大。
據悉,這兩個零日漏洞主要與 iPhone 和 iPad 中內置的蘋果官方郵件應用 Mail App 有關。利用上述漏洞,攻擊者可以通過發送空白電子郵件的方式,強製在目標手機上執行任意代碼,從而為攻擊者竊取設備上的數據打開“方便之門”,比如偷取照片和獲取聯繫方式等。
ZecOps 還表示,即使運行著最近的 iOS 版本,漏洞仍然允許攻擊者遠程竊取 iPhone 數據。“只要是 Mail App 可以訪問的,漏洞都能訪問,包括設備中的機密信息”。
加拿大學術安全研究組織 Citizen Lab 的安全研究者 Bill Marczak 形容上述漏洞“很可怕”。
據路透社報導,一名蘋果公司發言人承認 iPhone 和 iPad 中默認的郵件應用程序 Apple Mail 存在漏洞。蘋果公司計劃開發一個修複程序,並將很快準備發布一個安全更新。
查出大事
據了解,ZecOps 是一家位於舊金山的移動安全公司。在調查一起客戶網絡攻擊事件中,這家公司發現大量可疑且影響 iOS 上默認郵箱應用的事件。之後,ZecOps 分析,這些事件和對漏洞利用的發現還影響蘋果的 iPhone 和 iPad。
這家公司還查明,長期以來,漏洞的在野利用主要是針對企業用戶、VIPS 和 MSSPs。
作為 ZecOps 的總經理,Zuk Avraham 表示:他已經從利用蘋果 iOS 漏洞的惡意項目中找到相關證據。有兩名獨立的安全研究者,審查了其發現結果,他們認為證據可信,但是也表示它們沒有完全再現其發現成果。
事實上,至少從 2018 年 1 月,這兩個漏洞已經被用於針對 iOS 高級別用戶的系列攻擊行動中。
截至目前,這家公司稱其檢測到針對以下目標的攻擊企圖 / 嘗試:
一家位於北美的財富 500 的企業(員工);
一家日本運營商的高管;
一名德國 VIP;
來自沙特阿拉伯和以色列的 MSSPs;
一名歐洲記者;
一家瑞士企業的高管疑遭攻擊。
更多細節
根據 ZecOps 的研究報告,我們得知:這兩個零日漏洞位於蘋果郵件應用程序使用的 MIME 庫中,其中一個漏洞會造成越界讀寫錯誤,另一個漏洞會觸發堆溢出錯誤。並且,這兩個漏洞都是在野外觸發的。
相比第一個漏洞,第二個漏洞危害更大。因為後者可以實現“零點擊”利用,無需用戶與蘋果郵箱應用互動。一旦用戶收到郵件或打開蘋果 Mail App,攻擊即被觸發。“漏洞允許在 iOS 12 或 iOS 13 中執行遠程代碼,”ZecOps 團隊說,“對漏洞的成功利用將允許攻擊者洩露、修改和刪除受害者設備中的郵件。”
具體而言,在 iOS 12 系統中,用戶需要先點擊電子郵件才能觸發該漏洞,但是如果攻擊者控制了郵件伺服器,則無需點擊郵件就能實現攻擊;在 iOS 13 系統上,一旦在後台打開蘋果 Mail 應用程序,就能實現“零點擊”攻擊。
以色列國防軍前安全研究員 Avraham 對此表示,他懷疑這種黑客技術是一系列惡意程序的一部分,其余程序未被發現,這可能讓攻擊者擁有完全的遠程訪問權限。
不過,研究者也表示,漏洞對 Gmail 或其他郵件客戶端沒有任何影響。
ZecOps 披露了受影響的 iOS 版本:
所有的 iOS 測試版本(包括 iOS 13.4.1) 都存在這個漏洞;
基於已有的數據表明,iOS 11.2.2 和可能更早的版本更容易觸發 bug。
更嚴重的是,漏洞甚至存在於蘋果 2012 年發布的 iOS 6 中。這意味著,這兩個漏洞至少已經存在 8 年之久,並且影響到目前蘋果幾乎所有的 iOS 版本。不過,除郵件使用速度短暫下降外,用戶卻很難察覺到異常。
在市場上,零日漏洞一直頗受“歡迎”。有一類公司專門收集各類零日漏洞,再高價賣給政府和執法機構等有需求的客戶,比如 Zerodium 公司(它被譽為“網絡軍火商”)。2015 年,在 Zerodium 舉辦的一場漏洞賞金比賽中,有一名黑客因發現 iOS 9 系統中一個零日漏洞,贏得 100 萬美元的獎金。2016 年,iOS 10 發布,Zerodium 願意支付 150 萬美元來購買具有同樣功能的零日漏洞。
後來,零日漏洞的收購價不斷提高,Zerodium 在 2019 年更新了零日漏洞價格。其中,iOS 和安卓的 RCE + LPE 非持久性零點擊漏洞此前的收購價是 100 萬美元,如今已上漲到 150 萬美元。
ZecOps 表示,該公司在 1 月 19 日通知蘋果公司,但是 ZecOps 的研究發現被蘋果公司視為一個普通的 bug。
4 月 15 日,在發布的 iOS 13.4.5 beta 中,蘋果添加了針對漏洞的修複程序。
4 月 23 日,蘋果發布最新聲明:
蘋果公司嚴肅對待所有安全威脅的相關報告。針對 ZecOps 的研究報告,我們已經進行了仔細調查。根據調查結果,我們發現這些漏洞不會給用戶帶來直接風險。研究人員確定了 Mail 中的三個漏洞,但是僅憑它們不足以繞過 iPhone 和 iPad 的安全保護,而且我們還沒有發現它們被用來攻擊客戶的證據。我們將在最新的軟體更新中將加入修複程序。
建議舉措
目前,ZecOps 提醒 iOS 用戶注意防範這種攻擊。並且,該公司建議用戶不要使用蘋果 Mail App,可以使用其他郵箱應用,比如 Gmail、Outlook、QQ 郵箱、Foxmail 和網易郵箱等。此外,一旦 iOS 13.4.5 立即可用,他們最好立刻下載安裝最新系統。
更多技術細節,請參見 ZecOps 的研究。
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
點個在看少個 bug
香港九龍灣馬來街興發大廈15樓D室