广告

苹果iOS漏洞已潜伏八年,5亿用户可能被攻击!

2020-04-25 网络整理 阅读:
苹果iOS漏洞已潜伏八年,5亿用户可能被攻击!
据外媒报道,旧金山的网络安全公司 ZecOps 发现了一个存在于 iOS 设备上的漏洞,而且有证据表明,至少有 6 次网络安全入侵活动利用了这个漏洞。

最近,苹果被接连曝出重大安全漏洞。tFPednc

据外媒报道,旧金山的网络安全公司 ZecOps 发现了一个存在于 iOS 设备上的漏洞,而且有证据表明,至少有 6 次网络安全入侵活动利用了这个漏洞。tFPednc

可怕的是,该漏洞或影响 iOS6 以上所有版本,超过 5 亿的用户面临被攻击的风险,而这一漏洞可能被黑客利用了八年。tFPednc

黑客如何利用漏洞发起攻击?

被攻击的设备用户来自北美、日本、德国、沙特阿拉伯,以及以色列等国家和地区,漏洞的目标大多都是公司高管或安全服务提供商,而不是普通用户。tFPednc

ZecOps宣称,其中一个漏洞可以让攻击者通过发送消耗大量内存的邮件来远程感染iOS设备,而另一个漏洞可以允许远程代码执行。tFPednc

利用这些漏洞,攻击者可以泄露、修改和删除用户的电子邮件。tFPednc

具体来讲:攻击显然是通过iOS邮件应用程序上收到的一封空白电子邮件触发的,从而迫使手机崩溃并重新启动。可以在下载整个电子邮件之前访问此漏洞,这意味着在目标设备上找不到攻击中使用的电子邮件。攻击者还会发送电子邮件,占用大量内存。电子邮件本身不必一定很大,但是可以通过使用RTF格式,多部分发送消息的HTML版本其占用内存的格式来消耗大量RAM。tFPednc

对此,苹果尚未置评。但苹果公司发言人已经承认,iPhone和iPad上的电子邮件软件(即Mail应用)确实存在漏洞,并表示该公司已经开发了一个修复程序,将在即将发布的软件更新中推出。tFPednc

其实,在今年的2月份,ZecOps就向苹果公司报告可疑漏洞。tFPednc

3月31日,ZecOps确认了第二个漏洞存在于同一区域,并且有远程触发的能力。tFPednc

4月15日,苹果公司发布了iOS13.4.5 beta 2版,其中包含了针对这些漏洞的补丁程序,修复了这两个漏洞。iOS13.4.5正式版应该会在未来几周内公开发布。tFPednc

在此期间,ZecOps建议用户使用Gmail或Outlook等第三方电子邮件App。tFPednc

漏洞被利用了之后会出现哪些异常?

看到这里,有网友说,我都不用邮件,雨我无瓜啊。tFPednc

可是,这个漏洞的可怕之处或许不在于用户是否使用,只要它在你的应用列表里,那么你有可能就是被攻击的对象。tFPednc

根据 ZecOps 的研究,他们发现当你的 iPhone 和 iPad 被攻击后会,除了移动邮件应用程序暂时放缓之外,用户不应观察到任何其他异常行为。tFPednc

在 IOS 12 中,更容易触发该漏洞,因为数据流是在同一进程内完成的,作为默认邮件应用程序(MobileMail),它处理的资源要多得多,这会占用虚拟内存空间的分配,特别是 UI 呈现,而在 IOS 13 中,MobileMail 将数据流传递到后台进程,即 maild。它将其资源集中在分析电子邮件上,从而降低了虚拟内存空间意外耗尽的风险。tFPednc

具体反应如下:tFPednc

黑客在 iOS 12上的攻击尝试(成功或失败)之后,用户可能会注意到 Mail 应用程序突然崩溃。tFPednc

在 iOS 13 上,这一攻击则表现的不那么明显。除了暂时的放缓,其他异常都不会被注意到。tFPednc

在失败的攻击中,攻击者发送的电子邮件将显示消息:“此消息没有内容”。如下图所示:tFPednc

tFPednc

在 iOS 13上,攻击者可能会多次尝试在没有用户交互的情况下悄悄地感染设备。在 iOS 12上,则要求用户点击攻击者新收到的电子邮件触发攻击。不过,ZecOps 也表示,现在可以确定的是 MacOS 不容易受到这两种漏洞的攻击。tFPednc

就其本身而言,这些漏洞并不会对用户造成太大的风险--它们只允许攻击者阅读、修改或删除电子邮件。但如果与另一种内核攻击相结合,例如无法修补的 Checkm8 漏洞,这些漏洞可能会让不良行为者对特定目标设备进行 root 访问。tFPednc

ZecOps 在其报告中发现,黑客攻击的目标主要集中在企业高管和国外记者的设备上。所以,大家暂时不必过于担心。tFPednc

(综合整理自雷锋网、驱动中国;责编:Demi Xia)tFPednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 希望助华为渡难关!华为张霁为何如此自信?(附Top PhD论文) 前几天,EDN电子技术设计网报道了:《华为“天才少年”校招薪资曝光:西安交大100万,华科201万》,详细介绍了华为招纳四大天才少年的情况,其中华科大博士生张霁年薪201万。昨天(8月4日)张霁对此进行了强大的回应:希望能助华为渡过难关!他为何如此自信?我们看看其Top PhD实力。
  • 马斯克 Neuralink 公司的脑机接口被爆有安全隐患,或被 都知道埃隆·马斯克最有名的产品是特斯拉和SpaceX,最近SpaceX实现了宇航员的顺利返航,开启了太空探索的商业新模式。然而,在这背后,马斯克还掌握着一项神秘的技术,当然这项技术也在特斯拉和SpaceX中应用或试验中,这就是脑机接口技术。不过最近,马斯克的Neuralink公司的脑机接口技术被爆存在安全隐患,或能够被黑客劫持删除或破坏人类的记忆。
  • 热敏电阻 – 近观 对多数应用设备来说都有对温度监控与控制的基本要求,而这一应用在全球有高达 60 亿美元的全球市场,并以每年5%的速度增长。然而,尽管它们在这些设备中发挥着至关重要的作用,许多工程师却都认为使用这类微小的装置是理所当然的,并且往往会产生误解。为了帮助解决这一问题,本文描述了主要类型的温度传感器,并且重点关注了负温度系数 (NTC) 热敏电阻,因为该装置在温度传感应用中的使用最普遍。
  • 华为手机鸿蒙早已铺垫,或于9月10日在松山湖正式宣布面 自从被美国打压,谷歌威胁断供安卓,鸿蒙就出世了,可是一直神龙见首不见尾,期间曾传出鸿蒙主要立足物联网操作平台,可是谷歌安卓完全断供越来越明显,因此,尽管鸿蒙还幼小,但仍将不得不担起大任。
  • 蓝牙5.1AOA与UWB,哪种室内定位技术才是未来? 室内定位技术有好多种,有发展多年的超声波、蓝牙(iBeacon)、红外、超宽带UWB以及最近兴起的蓝牙5.1 AOA等等。UWB在国内发展也有十多年了,其应用似乎很广,市场也比较大,蓝牙AOA虽然发展较晚,但是得到了业界的积极响应和支持,那么这两种室内定位技术,哪种更有市场,哪种才是未来呢?
  • 集成电路成为国家一级学科,30万人才缺口有望填补 目前集成电路专业设置和产业发展脱节,人才数量和质量都达不到产业发展要求。在美国对中国实施科技制裁的背景下,将集成电路提升为一级学科对人才培养和产业发展都是非常大的利好。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了