广告

苹果iOS漏洞已潜伏八年,5亿用户可能被攻击!

2020-04-25 网络整理 阅读:
据外媒报道,旧金山的网络安全公司 ZecOps 发现了一个存在于 iOS 设备上的漏洞,而且有证据表明,至少有 6 次网络安全入侵活动利用了这个漏洞。

最近,苹果被接连曝出重大安全漏洞。dciednc

据外媒报道,旧金山的网络安全公司 ZecOps 发现了一个存在于 iOS 设备上的漏洞,而且有证据表明,至少有 6 次网络安全入侵活动利用了这个漏洞。dciednc

可怕的是,该漏洞或影响 iOS6 以上所有版本,超过 5 亿的用户面临被攻击的风险,而这一漏洞可能被黑客利用了八年。dciednc

黑客如何利用漏洞发起攻击?

被攻击的设备用户来自北美、日本、德国、沙特阿拉伯,以及以色列等国家和地区,漏洞的目标大多都是公司高管或安全服务提供商,而不是普通用户。dciednc

ZecOps宣称,其中一个漏洞可以让攻击者通过发送消耗大量内存的邮件来远程感染iOS设备,而另一个漏洞可以允许远程代码执行。dciednc

利用这些漏洞,攻击者可以泄露、修改和删除用户的电子邮件。dciednc

具体来讲:攻击显然是通过iOS邮件应用程序上收到的一封空白电子邮件触发的,从而迫使手机崩溃并重新启动。可以在下载整个电子邮件之前访问此漏洞,这意味着在目标设备上找不到攻击中使用的电子邮件。攻击者还会发送电子邮件,占用大量内存。电子邮件本身不必一定很大,但是可以通过使用RTF格式,多部分发送消息的HTML版本其占用内存的格式来消耗大量RAM。dciednc

对此,苹果尚未置评。但苹果公司发言人已经承认,iPhone和iPad上的电子邮件软件(即Mail应用)确实存在漏洞,并表示该公司已经开发了一个修复程序,将在即将发布的软件更新中推出。dciednc

其实,在今年的2月份,ZecOps就向苹果公司报告可疑漏洞。dciednc

3月31日,ZecOps确认了第二个漏洞存在于同一区域,并且有远程触发的能力。dciednc

4月15日,苹果公司发布了iOS13.4.5 beta 2版,其中包含了针对这些漏洞的补丁程序,修复了这两个漏洞。iOS13.4.5正式版应该会在未来几周内公开发布。dciednc

在此期间,ZecOps建议用户使用Gmail或Outlook等第三方电子邮件App。dciednc

漏洞被利用了之后会出现哪些异常?

看到这里,有网友说,我都不用邮件,雨我无瓜啊。dciednc

可是,这个漏洞的可怕之处或许不在于用户是否使用,只要它在你的应用列表里,那么你有可能就是被攻击的对象。dciednc

根据 ZecOps 的研究,他们发现当你的 iPhone 和 iPad 被攻击后会,除了移动邮件应用程序暂时放缓之外,用户不应观察到任何其他异常行为。dciednc

在 IOS 12 中,更容易触发该漏洞,因为数据流是在同一进程内完成的,作为默认邮件应用程序(MobileMail),它处理的资源要多得多,这会占用虚拟内存空间的分配,特别是 UI 呈现,而在 IOS 13 中,MobileMail 将数据流传递到后台进程,即 maild。它将其资源集中在分析电子邮件上,从而降低了虚拟内存空间意外耗尽的风险。dciednc

具体反应如下:dciednc

黑客在 iOS 12上的攻击尝试(成功或失败)之后,用户可能会注意到 Mail 应用程序突然崩溃。dciednc

在 iOS 13 上,这一攻击则表现的不那么明显。除了暂时的放缓,其他异常都不会被注意到。dciednc

在失败的攻击中,攻击者发送的电子邮件将显示消息:“此消息没有内容”。如下图所示:dciednc

dciednc

在 iOS 13上,攻击者可能会多次尝试在没有用户交互的情况下悄悄地感染设备。在 iOS 12上,则要求用户点击攻击者新收到的电子邮件触发攻击。不过,ZecOps 也表示,现在可以确定的是 MacOS 不容易受到这两种漏洞的攻击。dciednc

就其本身而言,这些漏洞并不会对用户造成太大的风险--它们只允许攻击者阅读、修改或删除电子邮件。但如果与另一种内核攻击相结合,例如无法修补的 Checkm8 漏洞,这些漏洞可能会让不良行为者对特定目标设备进行 root 访问。dciednc

ZecOps 在其报告中发现,黑客攻击的目标主要集中在企业高管和国外记者的设备上。所以,大家暂时不必过于担心。dciednc

(综合整理自雷锋网、驱动中国;责编:Demi Xia)dciednc

  • 谢谢。刚想是不是需要买个苹果呢。
本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • DC/DC转换器功率降额规范中的挑战和替代方法 当今电子系统正在将更多的功能集成到更小尺寸中,但功能增多使功耗也会增加。因此,为了应对这一趋势,提供系统电压轨的DC/DC转换器必须以更小的封装实现更高的功率,即具有更高的“功率密度”。虽然目前的转换器设计可以具有非常高效率,但仍必须消散巨大热量以将关键组件保持在其最高额定温度以下。
  • “中国IC设计成就奖”提名产品简介:SLMi33x优势 国内首款带DESAT保护功能并兼容光耦驱动的IGBT/SiC隔离驱动器,5kVrms隔离电压和高达10kV的隔离浪涌电压,CMTI超过100kV/us
  • “中国IC设计成就奖”提名产品简介:智能终端高清显示驱 新相开发的智能终端高清显示驱动芯片NV305X,采用零电容集成技术、色彩增强技术、图像压缩技术、集成MIPI、SPI、LVDS三种接口,可以同时支持LCD和IGZO两种面板类型,国内自主研发的高速、低成本,市场竞争力强的高清显示驱动芯片。
  • “中国IC设计成就奖”提名产品简介:屏蔽栅金属氧化场效 捷捷微电 (上海) 科技有限公司已推出的 N 沟道 100V 含自有先进平台 JSFET 系列中的 JMSH1001ATL ,采用了经 AEQ-101 验证、具超优热导性能的 PowerJE10x12 (TOLL) 创新型封装。
  • 拆一台苹果万元iMac电脑标配适配器,做工如何? Apple苹果的24英寸iMac已经上市有一段时间了,搭载苹果M1处理器的它性能相较上一代提升了85%,同时机身体积还小了50%。苹果24英寸iMac原装143W适配器A2290,其自带一条特殊的输出线缆,支持15.9V9A输出,下面就随小编一起来看看电源的具体用料做工。
  • 研发转至FAE(现场应用工程师),是否远离技术了?有前途吗? 前几日,EDN小编在浏览知乎的时候,发现了一个有趣的话题《FAE有什么发展前景吗?》,被浏览次数接近九万次。小编总结了一下题主的提问:FAE是否远离技术了?未来是否有发展前景?
  • Matter的核心:定义下一阶段智能家居的互操作性和无线技 在当今完全互联的世界里,使用各种智能家居的生活环境意味着需要同时与多种无线协议进行交互。照明系统、供暖和制冷系统、安全系统、娱乐系统——现在家庭生活的方方面面几乎都可以通过无线方式进行增强和控制。尽管无线技术的优势众多,但如今家庭中的无线连接并不是一帆风顺的。即便对于深谙各种先进技术的智能家居爱好人士来说,家庭网络中处理各种不兼容的无线协议也构成了挑战。
  • 拆解小米WatchS1智能手表,看看主板上的主要IC来自哪些 根据小米官方的描述,小米智能手表Watch S1型号中的S,取自“Super”的缩写,代表了强大。也代表着S1是面对高端市场的产品。那究竟是否如其名呢?
  • 小米发布“小感量+磁吸”无线充电预研技术,最高支持50W 据EDN电子技术设计报道,昨日,@小米手机 官微宣布,正式发布小感量+磁吸”无线充电预研技术,其磁吸无线充电功率最高可达50W,损耗降低50%。据悉,该技术与传统无线充电方案采用大感量线圈不同,小米的小感量无线快充技术方案采用小感知线圈去感应发送端能量。
  • “中国IC设计成就奖”提名产品简介:汽车级高性能可编程 CHA611是意瑞于2019年推出的汽车级可编程线性霍尔芯片,支持 5V 单电源供电,120 kHz带宽,响应时间约2us,支持灵敏度0.8 mV/Gs~ 24 mV/Gs范围内可编程。该产品在全温-40℃~150℃范围内可实现 1% 精度,且芯片出厂前已完成静态(零电流)输出电压的校准,并已通过AEC-Q100认证。
  • “中国IC设计成就奖”提名产品简介:MHA101霍尔开关传感 MHA101KN是一款全极的霍尔开关传感器,采用的是DFN1014封装(1.0x1.4mm 4-pin)。具有超低功耗,磁滞窗口小,磁场感应灵敏度高,一致性好,支持丰富的封装方式等优势。主要应用在智能手机、可穿戴(TWS及充电仓)、家电等领域。该产品已于2021年1月量产,出货量10 Mu/月,累计营收2千万人民币。
  • “中国IC设计成就奖”提名产品简介:温度湿度二合一传感 CHT8305是高精度数字温度湿度二合一传感器,其温度分辨率可达0.03125℃,具有±0.5℃的高精度,湿度分辨率可达0.02%RH。可覆盖宽电压范围至1.35V - 5.5V的应用,在3.3V电源下每秒采集一次温湿度数据时,平均工作电流仅为1.0uA(Typ.);在待机模式下,电流消耗为35nA(Typ.)…
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了