即使是基於最新版本iOS系統運行的iPhone,黑客也能利用這個漏洞遠程竊取其數據,獲取Mail應用有權訪問的任何信息,包括私密消息。
編譯 | 唐風
出品 | 新浪科技(ID:techsina)
蘋果公司正計劃修復一個漏洞,此前一家安全公司表示,這個漏洞可能已令超過5億部iPhone易受黑客攻擊,而且iPad上也存在這個漏洞。
舊金山移動安全取證公司ZecOps CEO祖克·阿夫拉哈姆(Zuk Avraham)在2019年底對一名客戶受到的複雜網絡攻擊進行調查時發現了這個漏洞,他稱其發現有證據表明,至少有6次網絡安全入侵活動利用了這個漏洞。
蘋果公司發言人承認,iPhone和iPad上的電子郵件軟件(即Mail應用)存在漏洞,並表示該公司已經開發了一個修復程序,將在即將發佈的軟件更新中推出。但該公司拒絕對阿夫拉哈姆週三發表的研究置評,這項研究表明該漏洞可被遠程觸發,而且已被黑客用來攻擊一些知名用戶。阿夫拉哈姆稱,他發現有證據表明,早在2018年1月就有一個惡意程序利用了這個iOS移動操作系統漏洞,但無法確定黑客的具體身份。
阿夫拉哈姆表示,在上述案例中,黑客通過Mail應用向受害者發出一份空白電郵,導致後者的系統崩潰並重置,而系統崩潰令黑客得以竊取照片和聯繫人信息等其他數據。
ZecOps聲稱,即使是基於最新版本iOS系統運行的iPhone,黑客也能利用這個漏洞遠程竊取其數據。該漏洞可令黑客獲取Mail應用有權訪問的任何信息,包括私密消息。
做過以色列國防軍(Israeli Defense Force)安全研究員的阿夫拉哈姆表示,他懷疑上述黑客技術只是一系列惡意程序的一部分,其餘的都還沒被發現,而這些程序可能已讓黑客獲得完全的遠程訪問權限。蘋果公司拒絕就此置評。
阿夫拉哈姆主要是基於“崩潰報告”中的數據而得出結論的,程序在未能成功執行任務時就會生成這種報告。然後,他重新創造了一種可以導致受控崩潰的技術。
兩名獨立安全研究人員對ZecOps的發現進行了審查,認定證據可信,但表示由於時間有限的緣故,他們尚未完全再現ZecOps的發現。
蘋果安全專家、前美國國家安全局(NSA)研究員帕特里克·沃德爾(Patrick Wardle)表示,這個發現“證實了一直以來被嚴格保守的一個秘密:資源充足的黑客可以悄無聲息地遠程感染打好了所有補丁的iOS設備”。
由於蘋果公司直到最近才意識到這個軟件漏洞,因此在此之前,該漏洞對提供黑客服務的政府和承包商來說可能是很有價值的。如果一個黑客程序能對一部最新款iPhone發動攻擊,且不會觸發警報,則其價格可能會達到100萬美元以上。
雖然網絡安全行業在很大程度上認為蘋果公司擁有很高的數字安全標準,但由於iPhone的全球人氣如此之高,因此任何成功的黑客技術都可能影響到數以百萬計算的iPhone用戶。蘋果公司表示,2019年中活躍使用的iPhone約為9億部。
加拿大學術安全研究組織“公民實驗室”(Citizen Lab)的安全研究員比爾·馬爾扎克(Bill Marczak)表示,ZecOps發現的這個漏洞很“嚇人”。他說道:“黑客攻擊很多時候是可以預防的,這個事實可以讓人感到安慰。(但)有了這個漏洞,不管你是不是擁有網絡安全博士學位,都會讓你吃不下飯。”
☞深入扒一扒 NumPy 中文網《防脫髮指南》,糟糕被圈粉了!
☞一行價值 10 萬的高併發秒殺方案代碼 | 每日趣聞
☞“新基建”提速,數字化硬核人才,你們準備好了嗎?
☞5分鐘!就能學會以太坊 JSON API 基礎知識!
☞架構師前輩告訴你:代碼該如何才能自己寫得容易,別人看得也不痛苦
☞“我想玩遊戲!” 大佬:玩啥遊戲,教你做一個智能貪吃蛇遊戲!
