江苏龙网

  1. 首页 > 人文 > >

InfoQ@iPhone 曝出“惊天漏洞”,波及全球超 5 亿部苹果手机( 二 )


不过 , 研究者也表示 , 漏洞对 Gmail 或其他邮件客户端没有任何影响 。
ZecOps 披露了受影响的 iOS 版本:
所有的 iOS 测试版本(包括 iOS 13.4.1) 都存在这个漏洞;
基于已有的数据表明 , iOS 11.2.2 和可能更早的版本更容易触发 bug 。
更严重的是 , 漏洞甚至存在于苹果 2012 年发布的 iOS 6 中 。 这意味着 , 这两个漏洞至少已经存在 8 年之久 , 并且影响到目前苹果几乎所有的 iOS 版本 。 不过 , 除邮件使用速度短暂下降外 , 用户却很难察觉到异常 。
在市场上 , 零日漏洞一直颇受“欢迎” 。 有一类公司专门收集各类零日漏洞 , 再高价卖给政府和执法机构等有需求的客户 , 比如 Zerodium 公司(它被誉为“网络军火商”) 。 2015 年 , 在 Zerodium 举办的一场漏洞赏金比赛中 , 有一名黑客因发现 iOS 9 系统中一个零日漏洞 , 赢得 100 万美元的奖金 。 2016 年 , iOS 10 发布 , Zerodium 愿意支付 150 万美元来购买具有同样功能的零日漏洞 。
后来 , 零日漏洞的收购价不断提高 , Zerodium 在 2019 年更新了零日漏洞价格 。 其中 , iOS 和安卓的 RCE + LPE 非持久性零点击漏洞此前的收购价是 100 万美元 , 如今已上涨到 150 万美元 。
ZecOps 表示 , 该公司在 1 月 19 日通知苹果公司 , 但是 ZecOps 的研究发现被苹果公司视为一个普通的 bug 。
4 月 15 日 , 在发布的 iOS 13.4.5 beta 中 , 苹果添加了针对漏洞的修复程序 。
4 月 23 日 , 苹果发布最新声明:
苹果公司严肃对待所有安全威胁的相关报告 。 针对 ZecOps 的研究报告 , 我们已经进行了仔细调查 。 根据调查结果 , 我们发现这些漏洞不会给用户带来直接风险 。 研究人员确定了 Mail 中的三个漏洞 , 但是仅凭它们不足以绕过 iPhone 和 iPad 的安全保护 , 而且我们还没有发现它们被用来攻击客户的证据 。 我们将在最新的软件更新中将加入修复程序 。
建议举措
目前 , ZecOps 提醒 iOS 用户注意防范这种攻击 。 并且 , 该公司建议用户不要使用苹果 Mail App , 可以使用其他邮箱应用 , 比如 Gmail、Outlook、QQ 邮箱、Foxmail 和网易邮箱等 。 此外 , 一旦 iOS 13.4.5 立即可用 , 他们最好立刻下载安装最新系统 。
更多技术细节 , 请参见 ZecOps 的研究 。
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
点个在看少个 bug


推荐阅读


上一篇:『小米』小米10青春版发布日期确定,主打轻薄化,小姐姐的福利来了

下一篇:[科技生活快报]称5G影响免疫力 澳大利亚新州百人聚集抗议