iPhone 用户请注意:你的邮件 App 得禁用,刚曝光的安全漏洞,iOS 6 以上设备全中招...
晓查 白交 发自 凹非寺
量子位 报道 | 公众号 QbitAI
你的iPhone不安全,就算静静地躺在那里也不安全。
最新曝光,来自国外安全团队ZecOps公布了一个惊天大漏洞,估测涉及5亿用户。
而且该漏洞在iOS系统里已存在8年之久,从iOS 6到iOS 13.4.1的设备全部中招……
什么概念?
几乎所有的iPhone用户和iPad用户,都可能会中招——除非你在用的是运行iOS 5的iPhone 4s或者更低版本的iPhone。
更可怕的是,这个漏洞不需要用户任何点击,只要给用户发送一封电子邮件,甚至邮件还在下载过程中,就能触发漏洞攻击。
但鬼故事还在后面。
该团队发现最早的攻击行为出现了2018年1月,也就是说黑客已经肆无忌惮地利用这个漏洞攻击了两年。
而且苹果只能等到下一次iOS更新才能彻底堵上它。
中毒后会有什么症状?
除了手机邮件App暂时的速度下降之外,用户一般不会观察到任何其他的异常行为。
黑客在iOS 12上尝试利用漏洞后,用户可能会遭遇邮件App突然崩溃的现象,之后会在收件箱里看到“此消息无内容”这样的邮件。
而在iOS13上,攻击更为隐蔽。
如果黑客在攻击成功后再进行一次攻击,还能删除电子邮件,用户看不到任何迹象。
如果看到自己的邮件App里有类似的信息,那你就要小心了,说明黑客已经盯上了你。
现在,这一漏洞使攻击者,可以在默认的邮件App的上下文中运行代码,从而可以读取、修改或删除邮件。
附加的内核漏洞还可以提供完全的设备访问权限,所以ZecOps团队怀疑黑客还掌握着另一个漏洞。
不过,ZecOps团队发现,黑客攻击的目标主要集中在企业高管和国外记者的设备上,如果你不在此列,暂时不必过于担心。
漏洞是什么?
这一漏洞可以允许执行远程代码,通过向设备发送占用大量内存的电子邮件使其感染。
另外有很多方法可以耗尽iPhone的内存资源,比如发送RTF文档。
ZecOps发现,导致这一攻击成功的原因是,MFMutableData在MIME库中的实现,缺少对系统调用的错误检查,ftruncate()会导致越界写入。
他们找到了一种无需等待系统调用失败,即可触发OOB写入的方法,还发现了可以远程触发的栈溢出漏洞。
OOB写入错误和堆溢出错误,都是由这样一个相同的问题导致的:未正确处理系统调用的返回值。
该漏洞可以在下载整封电子邮件之前就触发,即使你没有将邮件内容下载到本地。
甚至不排除攻击者在攻击成功后删除了邮件,做到悄无声息。
对于iOS 13设备的用户,无需点击就能触发,对于iOS 12的用户,需要单击这类邮件才能触发,不过在邮件加载完成之前,攻击就已经开始了。
如何补救?
其实,在今年的2月份,ZecOps就向苹果公司报告可疑漏洞。
3月31日,ZecOps确认了第二个漏洞存在于同一区域,并且有远程触发的能力。
4月15日,苹果公司发布了iOS13.4.5 beta 2版,其中包含了针对这些漏洞的补丁程序,修复了这两个漏洞。
如果没有办法下载安装beta 2版的话,那就尽量别使用苹果自带的邮件App了。
注意!后台运行也不可以哦~一定要禁用这款原装程序才行。
也是时候试试其他邮箱了。
比如微软Outlook、谷歌Gmail、网易的邮箱大师……
欢迎列举补充~
用户反馈:已泄露的怎么办?
惊天漏洞,自然也少不了我伙呆。
不过除此之外还有一些有意思的评论:
有乖巧学习型:
学到了,不使用系统Mail程序了。
有借势推荐型:
不论如何,Gmail app>>mail app
有角度新奇型:
看到这个让我想起了那些说 “Mac不会得病毒 “的人!(实际上Mac确实没中招,中招的是iPhone)
还有担心这事儿长尾影响的:
黑客删掉一些没用的,但可能还有一些副本,即便漏洞堵上了,一些之前的信息还是可能会泄露…
总之,搞不好就是哪位知名人物或惊天大瓜被曝光了。
潘多拉魔盒已经打开……
虽然这是被一直认为比安卓更安全的iOS,比安卓更安全的iPhone,但也不是铁板一块。
嗯,不说了,我要去禁用iOS邮件应用了。
如果你有iPhone和iPad的朋友,也别忘了告诉TA~
参考:
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
最新 AI 干货,我在看
iPhone 用户请注意:你的邮件 App 得禁用,刚曝光的安全漏洞,iOS 6 以上设备全中招...相关推荐
- 手机邮箱看不到已发送邮件_iPhone用户请注意:你的邮件App得禁用,刚曝光的安全漏洞,iOS 6以上设备全中招...
晓查 白交 发自 凹非寺 量子位 报道 | 公众号 QbitAI 你的iPhone不安全,就算静静地躺在那里也不安全. 最新曝光,来自国外安全团队ZecOps公布了一个惊天大漏洞,估测涉及5亿用户. ...
- Chrome用户请尽快更新:谷歌发现两个严重的零日漏洞
强烈建议:Chrome用户请尽快升级浏览器!在谷歌今天发布的紧急补丁程序中修复了两个严重的零日漏洞,而其中一个已经被黑客利用.Chrome安全小组表示,这两个漏洞均为use-after-free形式, ...
- App截图录屏,iPhone用户可以开始瑟瑟发抖了
西雅图IT圈:seattleit [今日作者] PowerBall选号机 身体和灵魂总有一个要 走在买PowerBall的路上 亲爱的iPhone用户们, 如果装有Air Canada,Hollist ...
- 安卓来电归属地_如何做一名突出的iPhone用户?安卓勿进!
你能一眼分出iPhone用户和安卓用户吗?最近,知乎有个很有趣的问题上了热搜:有哪些特征一眼会被看出是iPhone用户?特征?iPhone用户最大的特征不是没有口袋,喜欢把手机拿在手上吗?不开玩笑了, ...
- 苹果邮件App漏洞?不要慌
大家好,才是真的好. 这几天科技界的大新闻主要集中在苹果设备内置的mail App上,据安全公司ZecOps公司报告,iOS邮件App存在严重漏洞,苹果公司业已承认,并正在开发修复程序. 漏洞很严重啊 ...
- 苹果手机自带邮件APP配置腾讯企业邮箱(EXCHANGE协议)
如何在iPhone/iPad邮件应用程序Mail中设置腾讯企业邮箱的Exchange同步服务? 下面向大家介绍如何使用iPhone/iPad上的邮件应用程序Mail中设置腾讯企业邮箱的Exchange ...
- 如果您无法收到来自iPhone用户的短信怎么办
If you've been having trouble receiving text messages from iPhone users, Apple's iMessage is probabl ...
- 12月5日科技资讯|iPhone 用户流失令人担忧;.NET Core 3.1 发布
「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧.扫描上方二维码进入 CSDN App 可以收听御姐萌妹 Sty ...
- 微软苹果服务器宕机,苹果服务器宕机,iPhone用户别做这两项操作,微软特斯拉也中招...
原标题:苹果服务器宕机,iPhone用户别做这两项操作,微软特斯拉也中招 虽然苹果一直都以安全来标榜自己,而事实上也确实如此.IOS封闭的环境,相对与安卓这个开放的环境确实要更加安全一些.苹果可以很好 ...
最新文章
- 蓝桥杯来了?最后节点了,这不得共享一波资源?
- hbase java api 两种方式
- 剑指offer03.数组中重复的数字
- python读取二进制数据中的while循环_在Python中读取二进制文件并循环遍历每个字节...
- C学习杂记(六)%2.0f打印输出宽度
- redis——持久化
- mysql用的cap中哪两个_分布式事务CAP定理和BASE理论
- delphi7升级delphi2007可以互用马_马爹利鼎盛周末饭局暂停营业,未来再见
- SpringBoot 2.x 使用Redis作为项目数据缓存
- java icache_java手写多级缓存
- 嵌入式MicroFlighter 之STM32F103学习——编写第一个STM32程序
- 载入Haskell的函数
- 旧计算机 云桌面,切换桌面(云桌面切换到自己电脑)
- 人体姿态估计:OpenPose、CPN
- Kaggle竞赛:San Francisco Crime Classification(旧金山犯罪分类) 参赛心得
- Tomcat SSL Failed to load keystore type JKS with path 系统找不到指定文件
- CSS3 仿古墓丽影9菜单界面
- 高德离线地图瓦片坐标偏移纠偏
- 尼日利亚4g频段_4G全球频段划分及主要运营商对应表2015版.xls
- steam 32位 linux 下载地址,「Linux」- 安装 Steam 客户端