一般而言,由于iPhone设备的不越狱性,致使苹果设备比安卓设备更安全,因而iPhone设备备受用户欢迎。但近日,一个网络安全公司表示iPhone/iPad邮件应用中存在漏洞,并且该漏洞可能已被黑客暗中利用8年,涉及5亿苹果手机用户正面临易受黑客攻击的风险。

该漏洞是在在去年年,通过对客户受到的复杂网络攻击进行调查时发现的,并且至少有6次网络安全入侵活动利用了这个漏洞。

对此,苹果公司回应称,iPhone/iPad邮件应用中确实存在漏洞,但尚未发现黑客利用邮件应用漏洞对iPhone/iPad进行网络攻击。

因此,目前来看该漏洞不会对用户造成影响,这是因为黑客还无法利用它们绕过iPhone/iPad内部的安全机制。此外,截至目前也没有发现有实质用户遭受攻击的证据。

当心空白邮件

攻击者利用邮件应用漏洞利用可以通过发送空白电子邮件的方式,导致iPhone、iPad的邮箱应用闪退并重启,从而使得黑客可以强制在目标手机上执行任意代码,这就为攻击者窃取设备上的数据打开方便之门,比如盗取用户照片和获取联系方式等。

即使运行着最新的 iOS 版本,该漏洞仍然允许攻击者远程窃取 iPhone 数据。只要是邮件应用可以访问的,漏洞均能访问,包括设备中的机密信息。

对此苹果公司回应表示,对于该漏洞的修复正在计划开发修复程序,并将很快准备发布一个安全更新。此外,据悉在iOS 13.4.5测试版中,已经修复上述BUG,正式版会在未来几周内公开。

漏洞介绍

iPhone/iPad设备中存在的漏洞属于零日漏洞,并且这两个零日漏洞位于苹果邮件应用程序使用的 MIME 库中。一个漏洞会造成越界读写错误,另一个漏洞会触发堆溢出错误。并且,这两个漏洞都是在野外触发的。

相比第一个漏洞,第二个漏洞危害更大。因为后者可以实现零点击利用,无需用户与苹果邮箱应用交互。一旦用户收到邮件或打开苹果 Mail App,攻击即被触发。漏洞允许在 iOS 12 或 iOS 13 中执行远程代码,对漏洞的成功利用将允许攻击者泄露、修改和删除受害者设备中的邮件。

具体而言,在 iOS 12 系统中,用户需要先点击电子邮件才能触发该漏洞,但是如果攻击者控制了邮件服务器,则无需点击邮件就能实现攻击;在 iOS 13 系统上,一旦在后台打开苹果 Mail 应用程序,就能实现零点击攻击。

建议

iOS用户需要防范这种攻击。由于漏洞对 Gmail 或其他邮件客户端没有任何影响,因此建议用户不要使用内置邮件应用,可以使用其他邮箱应用,比如 Gmail、Outlook、QQ 邮箱、Foxmail 和网易邮箱等。此外,一旦iOS 13.4.5立即可用,用户最好立刻下载安装最新系统。

点击查看往期内容回顾

网络黑产成商品明码标价,受害者不仅游戏行业

数千家企业被约谈处理,网站内容注意这些方面

长按二维码,关注我们

新睿云,让云服务触手可及

云主机|云存储|云数据库|云网络

iPhone设备零日漏洞,5亿用户面临攻击相关推荐

  1. 波及Win 11,让安全员自动放弃的零日漏洞,微软这次麻烦了

    8 月 23 日微软刚刚修复了名为"PrintNightmare"高危零日漏洞,当用户插入 Razer(雷蛇)鼠标或者键盘时,黑客有可能获得 Windows 管理员权限. 屋漏偏逢 ...

  2. 苹果在旧设备中修复了两个 iOS 零日漏洞

    Apple 6/14 发布了安全更新,以解决两个零日漏洞,这些漏洞在野外被利用来破解老一代 iPhone 和 iPad. 这两个漏洞(编号为 CVE-2021-30761 和 CVE-2021-307 ...

  3. Chrome用户请尽快更新:谷歌发现两个严重的零日漏洞

    强烈建议:Chrome用户请尽快升级浏览器!在谷歌今天发布的紧急补丁程序中修复了两个严重的零日漏洞,而其中一个已经被黑客利用.Chrome安全小组表示,这两个漏洞均为use-after-free形式, ...

  4. 所有 Windows 用户请注意:该高危零日漏洞已被利用 7 周

    整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) 所有 Windows 用户请注意:有一个高危零日漏洞已存在至少 7 周,有相关证据表明该漏洞已被黑客利用,借此在用户设备上"悄 ...

  5. 苹果零日漏洞利用市售800万欧元

    苹果移动操作系统iOS零日漏洞利用可致远程代码执行,市售800万欧元. 苹果零日漏洞可造成巨大破坏 由于以色列网络情报公司NSO Group备受争议的"飞马"(Pegasus)解决 ...

  6. 仅10天修复3个零日漏洞 苹果是真的拼了命

    <名利场>最近刊文介绍了零日漏洞及其背后的黑市交易(主要卖给政府).介绍这些漏洞如何被用于进行间谍活动,以及这整个"行业"是如何形成的.其实说到零日漏洞,相信大部分 i ...

  7. 谷歌发现利用零日漏洞的攻击、黑客通过漏洞入侵红十字会|2月17日全球网络安全热点

    安全资讯报告 新加坡将加强网络钓鱼诈骗后的安全措施 新加坡正在加强安全措施,以支持当地的银行和通信基础设施,其中包括短信服务提供商需要在发送消息之前检查注册表.预计银行还将开发"更通用&qu ...

  8. 黑客入侵微软邮件服务器、Windows零日漏洞可获管理员权限|11月23日全球网络安全热点

    安全资讯报告 经济日报:筑牢数据安全防护网 由国家互联网信息办公室会同相关部门研究起草的<网络数据安全管理条例(征求意见稿)>对外公布.这是国家加强网络数据法治化的又一重要举措,对数据处理 ...

  9. 黑客狂野利用零日漏洞:小米三星也中招,安卓手机最易受此漏洞的攻击?

    零日漏洞的另一个启示,这次是在全球使用最广泛的移动操作系统Android中.黑客无处不在,知名网络安全专家,东方联盟创始人郭盛华还发现了Android 0day漏洞的狂野利用,这是臭名昭著的,因为它向 ...

最新文章

  1. 创建 tls 客户端 凭据时发生严重错误。内部错误状态为 10013_kubectl 创建 Pod 背后到底发生了什么?...
  2. Eclipse Java类编辑器里出现乱码的解决方案
  3. 《计算机网络》_学习笔记(一)
  4. Linux 系统创建.sh文件以及赋权、执行
  5. 如何查看华为服务器配置信息,华为服务器查看配置
  6. GenerateResource”任务意外失败的解决方法
  7. 烫烫烫和屯屯屯2021
  8. 20160319中艺收盘总结
  9. Tensorflow自编码器及多层感知机
  10. CF984C Finite or not?
  11. 华硕FX63VM笔记本bios如何设置U盘启动
  12. 隐藏Ubuntu 18.04 顶部通知栏( hide top bar)
  13. 庆祝EDA夺冠之余,我们来讨论讨论程序员一般想要new一个什么样的对象
  14. word编辑文字时光标随意跳动问题
  15. (激励自己学习)努力吧,现在也不晚(转)
  16. 华为2021软件精英挑战赛复赛赛后方案分享
  17. SpringCloud从入门到精通(超详细文档)
  18. 引水工程 Kruskal + Prim
  19. 一些常用的网址,分享给需要的朋友
  20. linux hub设备,linux usb hub初始化

热门文章

  1. Facebok的动画框架pop
  2. 拉格朗日乘子法详解(Lagrange multiplier)
  3. 《萌小甜动图字帖》使用简介
  4. 计算机网络中型网吧规划设计,中小型网咖网络规划设计开题报告
  5. iOS微信小程序网页请求走error问题
  6. 大型高并发网站之查询性能优化(综合篇)
  7. 如何观察一棵树 - 笔记
  8. Sentinel-2 哨兵二号数据(Level-1C)下载及预处理教程
  9. vmdk和img相互转换
  10. RLChina强化学习笔记