資安廠商 ZecOps 發表重量級研究報告指出,該公司發現 iOS 13 的內建郵件軟體 Mail.app 有兩個相當嚴重的 0-day 漏洞,可能已經遭駭侵者用以發動攻擊。
這兩個 0-day 漏洞之所以嚴重,在於其中有一個屬於無需用戶操作(0-click)類型,駭侵者只需寄送含有特製內容的 Email 給用戶,無需用戶打開 Email 進行操作,即可透過此一漏洞植入用戶的 iOS 裝置並開始執行。
ZecOps 指出,該公司已經發現這兩個漏洞有遭駭侵者大規模濫用的跡象,目標對象包括某些重要人士、各行各業的高階主,以及大公司的員工等等。
ZecOps 也說,在該公司觀察到的受害案例中,他們發現駭侵者一旦發現已成功透過 Email 駭入受害者手時,就會立即將該封惡意郵件自郵件伺服器與用戶的手機中刪除,以避免遭到追蹤。
ZecOps 說,他們認為發動這些攻擊的駭侵團體,很可能背後有某些國家勢力的支持,或是有專門僱用駭侵者的團體給予資助。
另一家資安公司 Trail of Bits 表示,透過這個漏洞發動駭侵攻擊用的惡意軟體,可能是在時間壓力下匆忙開發出來的初期版本,因為還必須寄送檔案體積很大的惡意郵件才可能感染 iOS 裝置;這種信件很容易被 GMail、Outlook 之類的郵件服務偵測並擋掉。
蘋果公司表示,已經在測試版的 iOS 13.4.5 Beta 中解決這兩個 0-day 漏洞,正式版也即將推送上線。待正式版上線後,用戶應立即更新其 iOS 裝置。
- 影響版本:iOS 13.5 先前各版本
- 解決方案:待 iOS 13.5.4 正式版推出後立即進行更新
- 參考連結
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
https://www.vice.com/en_us/article/pken5n/iphone-email-zero-day-hack-in-the-wild
- 【更多資訊產品漏洞】請參考 https://www.twcert.org.tw/tw/lp-104-1.html
留言列表
資安宣導 (2)
