更多

    iOS 重大漏洞!收 email 即被 Hack

    kaWing
    kaWing
    從事科技教育報導逾十年,見證香港電子學習及STEM的興起和轉變。
    根據 ZecOps 的網絡安全研究人員的報告表示, iOS 6 發行後一直存在兩個漏洞,該漏洞只要經由 iOS 內部電郵 App 接收電郵就會啟動觸發。這些漏洞至今的 iOS 13.4.1 版本,一直並沒有被修補。
    以下是一些該報告摘要:
    • 該漏洞影響最嚴重之處是可經由遙距程式執行,從惡意電子郵件感染該裝置;
    • 該漏洞並不需要經由大容量的電子郵件來擠爆記憶體,小電郵一樣可以控制 RAM 資源,從而經由 RTF 或其他方法執行控制;
    • 這些漏洞都是可從外間觸發;
    • 該漏洞可以在整個電子郵件下載完成之前觸發,因此電子郵件內容不需要保留在裝置裡;
    • 有可能攻擊者成功攻擊後,可隨即刪除電子郵件;
    • 在 iOS 13  上,只要郵件程式在背景執行時,用戶不需有任何動作亦可以觸發漏洞 ;
    • 在 iOS 12 上,攻擊需要用戶點擊惡意電子郵件來觸發,不過就可以在呈現郵件內容之前啟動,用戶是不會察覺異常的;另外,如果攻擊者控制了郵件伺服器,則可以在不需要用戶任何動作之下發動的攻擊;
    • 這個漏洞自 2012 年 9 月發表的 iPhone 5 所用的 iOS 6 便已存在;
    • 根據研究人員觀察,這漏洞第一次觸發是在 2018 年 1 月的 iOS 11.2.2 上。

    該網站同時估計,這次漏洞會顯著影響的目標用戶包括:北美 500 強企業個人用戶、日本某航空公司的高級主管、德國的重要用戶、沙特阿拉伯和以色列的 MSSP 、歐洲記者等。此外,該攻擊只是存在於 iOS ,並不會在 macOS 上觸發。據知, iOS 13.4.5 將會修正有關漏洞, Apple 日前已經發佈該版本的公測版。有網站建議使用者於 Apple 未正式公布更新修補漏洞前,停用 iOS 預設電郵程式,改由直接登入電郵網頁讀取程式。

    郵件漏洞將會在 iOS 13.4.5 修正,日前 Apple 經已釋出 公測版本,相信 1-2 星期內會正式推出。
    郵件漏洞將會在 iOS 13.4.5 修正,日前 Apple 經已釋出 公測版本,相信 1-2 星期內會正式推出。
    資來源源: Zecops

    您會感興趣的內容

    相關文章