据外媒报道,对于网络安全研究人员声称在iPhone和iPad邮件应用程序中发现两大零日漏洞,并可能危及全球5亿用户设备安全的问题,苹果公司做出回应,称没有发现黑客利用漏洞发动攻击的证据。
美国当地时间周三,网络安全公司ZecOps的安全人员表示,他们发现了两个以前不为人知的邮件漏洞。如果利用这两个漏洞,攻击者可以远程访问、修改或删除用户电子邮件。苹果为此启动了一项调查,并在声明中表示,邮件问题本身不足以让网络攻击者绕过其内置的安全措施,并补充说其将很快发布修复程序。
苹果称:“我们已经彻底调查了研究人员的报告,根据他们提供的信息,我们得出结论,这些问题不会对我们的用户构成直接风险。研究人员发现了Mail中的三个问题,但它们不足以绕过iPhone和iPad的安全保护,我们也没有发现任何证据表明它们被用来袭击客户。”
苹果继续表示,该公司非常重视独立安全研究人员的发现,他们帮助确保iOS的安全,并将在未来依然依赖这些人发现漏洞。苹果通常会随每个软件版本发布安全更新,以详细说明修补的漏洞,并公布发现这些漏洞的安全研究人员或研究小组的身份。
正如ZecOps详细描述的那样,黑客可以通过发送精心构建的电子邮件来利用iOS漏洞进行攻击,从而使他们能够运行远程代码。虽然在iOS 12中,攻击需要用户单击恶意电子邮件,但在iOS 13中,当Mail在后台打开时,攻击会变成零点击或无协助的媒介。
ZecOps表示,这些漏洞自iOS 6以来就存在,它们是作为有针对性的攻击的一部分触发的。该公司在报告中说,被攻击的目标可能包括北美财富500强公司的员工、日本航空公司的高管以及一名欧洲记者。
ZecOps首席执行官祖克·阿夫拉哈姆(Zuk Avraham)称,他发现了至少6次利用该漏洞发动网络入侵的证据。他表示,他早在2018年1月就发现了攻击者利用该漏洞的证据,但他无法确定黑客是谁。
这些漏洞是在苹果发布测试版更新时公开披露的,ZecOps预测,攻击者“很可能会利用这段时间,在补丁发布前攻击尽可能多的设备”。不过,ZecOps已经证实,苹果最新的iOS 13.4.5测试版修补了报告中的漏洞。
关键词: 苹果