• WWDC 2022
  • iPhone 14
  • 口罩解鎖
  • iPhone換電池
  • HomePod mini
  • 聯絡瘋先生
瘋先生
沒有結果
查看所有結果
  • 蘋果新聞
    • Apple發表會
  • 教學
    • iOS教學
    • iPadOS教學
    • AirPods教學
    • Apple Watch教學
    • HomePod教學
    • Apple Music教學
    • Apple TV教學
    • MAC教學
    • CarPlay教學
  • iOS捷徑
  • APP教學
  • JB越獄
    • 越獄新聞
    • iOS越獄教學
    • Cydia插件
      • Cydia iOS12 插件
      • Cydia iOS11 插件
      • Cydia iOS10 插件
      • Cydia iOS9 插件
      • Cydia iOS8 插件
      • Cydia iOS7 插件
      • Cydia iOS6 插件
    • Cydia疑難雜症
    • tvOS越獄
  • 開箱評測
  • 3C科技
    • Facebook
    • Instagram
    • LINE
    • Netflix
    • Gogoro
    • 瀏覽器
    • 限時免費
  • 下載
    • iOS韌體下載
    • 桌布
  • 蘋果新聞
    • Apple發表會
  • 教學
    • iOS教學
    • iPadOS教學
    • AirPods教學
    • Apple Watch教學
    • HomePod教學
    • Apple Music教學
    • Apple TV教學
    • MAC教學
    • CarPlay教學
  • iOS捷徑
  • APP教學
  • JB越獄
    • 越獄新聞
    • iOS越獄教學
    • Cydia插件
      • Cydia iOS12 插件
      • Cydia iOS11 插件
      • Cydia iOS10 插件
      • Cydia iOS9 插件
      • Cydia iOS8 插件
      • Cydia iOS7 插件
      • Cydia iOS6 插件
    • Cydia疑難雜症
    • tvOS越獄
  • 開箱評測
  • 3C科技
    • Facebook
    • Instagram
    • LINE
    • Netflix
    • Gogoro
    • 瀏覽器
    • 限時免費
  • 下載
    • iOS韌體下載
    • 桌布
沒有結果
查看所有結果
瘋先生
沒有結果
查看所有結果
首頁 Apple新聞

史上最嚴重iOS 郵件零時差漏洞出現!免開Email 就能遭駭客入侵

瘋先生 by 瘋先生
2020-04-25
分享到 LINE分享到 Facebook分享到Twitter分享到Wechat

近日資安公司 ZecOps 在 iOS 系統中,不管是 iPhone 或 iPad 設備,系統預設的郵件 App 都存在兩個重大零時差漏洞(Zero-Day),能夠在用戶不用點擊郵件內網址或不需開啟情況下,就能夠造成漏洞攻擊,讓駭客透過遠端即可入侵設備,並且進行監聽和竊取設備內資料。

史上最嚴重iOS 郵件零時差漏洞出現!免開Email 就能遭駭客入侵

 

 

總部位於舊金山的 ZecOps 資安公司在本周三宣布(22),在 2018 年 1 月開始,發現 iOS 11.2.2 上有多起遭受漏洞攻擊事件,意外發現這些漏洞非常危險,駭客正利用郵件 App 零時差漏洞(Zero-Day)進行攻擊,報告中也指出,主要目標都是針對《財富》 2000強企業高層和多個行業的執行管理者以及和安全管理服務提供商(MSSP)。

ZecOps 創始人執行長艾夫拉罕(Zuk Avraham)表示,很確定這次郵件攻擊也能實現遠端入侵,但是需要另一個漏洞才能觸發它,目前也已經找到遠端漏洞,已經將詳細報告交給蘋果進行修補,直到蘋果在最新測試版本修補後,才完整將報告公開。

 

 

iOS 郵件攻擊非常粗爆,免開啟Email即可觸發漏洞

值得一提是 ZecOps 所發現的兩個漏洞都屬於遠端漏洞,Avraham 強調駭客可以用它進行全面性的攻擊,在郵件還沒下載完成之前就能觸發,郵件也會自動執行刪除,受攻擊設備不會彈跳出任何異常的錯誤畫面,導致用戶會在不知情的情況遭攻擊。

iOS 郵件攻擊非常粗爆,免開啟Email即可觸發漏洞

報告中明確指出,郵件漏洞從 2012 年 9 月 iOS 6 推出以來就一直存在,直到 2018 年 1月在 iOS 11.2.2 上才被利用,直到當前最新 iOS 13.4.1 都尚未被修補,每個 iOS 版本也會擁有不同的觸發方式:

  • iOS 13:只要郵件 App 常駐在 iOS 後台,收到攻擊信件後,不需要打開 Email 就能觸發攻擊。
  • iOS 12:受攻擊者需開啟 Email ,在內容尚未完整下載完之前,就可立即觸發漏洞攻擊。

如果駭客能夠直接控制郵件伺服器,就能讓 iOS 12 漏洞方式與 iOS 13 相同,實現非常粗爆不需要打開 Email 也能觸發攻擊。

iOS 郵件攻擊非常粗爆,免開啟Email即可觸發漏洞1

ZecOps 替這次郵件漏洞稱之為「零時差(Zero-Day)」漏洞,主要是靠 Email 格式錯誤引發越界和堆溢出錯誤,雖然攻擊者能藉由漏洞取得有限制的控制權,但是如果搭配其他 iOS 內核漏洞,那就能取得完整的 Root 控制權。

在郵件漏洞觸發後,駭客更可藉由遠端入侵受害者手機、平板裝置,竊取圖片、聯絡人和機密文件,同時也可以隨時監聽和定位目前所在位置。

加拿大公民實驗室(Citizen Lab)安全研究專家馬克扎克(Bill Marczak)表示,就算用戶對於資安防護有深度認知和技巧,但是這次漏洞能夠在不知情況下,能輕易的竊取你的資料。

Avraham 在研究中也發現,漏洞起源於未知的第三方單位,且郵件 App 零時差漏洞至少已經轉賣給多個國家型黑客組織使用,主要是要用來監視大中型企業公司的高層人員,全球在美國、德國、日本、以色列、沙烏地阿拉伯等地都有企業和一名歐洲記者都有受到郵件漏洞攻擊跡象。

 

蘋果準備推出 iOS 修補漏洞

對於 ZecOps 所發現的漏洞,蘋果也已經在 iOS 13.4.5 測試版中已經修補,如果不想受到漏洞攻擊,可先行升級 iOS 13.4.5 Beta 版,預計後續蘋果將會在短期內釋出 iOS 13 正式版更新來修補。

如果你是並非是公眾人物或是企業高層人員也不需太過於恐慌,基本上一般民眾是不會收到這類攻擊郵件,如果擔心也可以暫時先停用 iOS 內建郵件,並且改由 Gmail 或其他第三方郵件 App 收發信件。

 

資料來源:ZecOps

標籤: iosipadiphoneZecOpsZeroDay郵件漏洞零時差漏洞
分享分享Tweet分享

相關文章

KKBOX永久免費聽怎麼領?體驗到期天天20 首音樂聽到飽
3C科技

KKBOX永久免費聽怎麼領?體驗到期天天20 首音樂聽到飽

2022-05-26 - 最新更新時間: 2022-05-27
iPhone 14 Pro「紫色」新機配色、規格與售價細節一次了解
Apple新聞

iPhone 14 Pro「紫色」新機配色、規格與售價細節一次了解

2022-05-26
Apple關閉 iOS 15.4.1 認證,防堵 iPhone 降回iOS 15.5 舊版本
Apple新聞

Apple關閉 iOS 15.4.1 認證,防堵 iPhone 降回iOS 15.5 舊版本

2022-05-24
【iOS 15.5耗電與電池續航力】表現如何?實測多款iPhone機型
Apple新聞

【iOS 15.5耗電與電池續航力】表現如何?實測多款iPhone機型

2022-05-24
HomePod開箱評測:一款封閉又很奇特的智慧音箱,告訴你值不值得買
Apple新聞

蘋果正秘密開發新款 HomePod,推出時間也遭外媒爆料

2022-05-23
iPhone解鎖畫面電量捷徑分享,隨電量自動轉換充電表情圖案
Apple新聞

iPhone解鎖畫面電量捷徑分享,隨電量自動轉換充電表情圖案

2022-05-22
載入更多
  • WWDC 2022
  • iPhone 14
  • 口罩解鎖
  • iPhone換電池
  • HomePod mini
  • 聯絡瘋先生

非經授權請勿全文轉貼 隱私權政策 | 歡迎iPhone週邊業者、手機商和App軟體開發者合作和產品測試事宜,聯繫瘋先生

沒有結果
查看所有結果
  • 蘋果新聞
    • Apple發表會
  • 教學
    • iOS教學
    • iPadOS教學
    • AirPods教學
    • Apple Watch教學
    • HomePod教學
    • Apple Music教學
    • Apple TV教學
    • MAC教學
    • CarPlay教學
  • iOS捷徑
  • APP教學
  • JB越獄
    • 越獄新聞
    • iOS越獄教學
    • Cydia插件
      • Cydia iOS12 插件
      • Cydia iOS11 插件
      • Cydia iOS10 插件
      • Cydia iOS9 插件
      • Cydia iOS8 插件
      • Cydia iOS7 插件
      • Cydia iOS6 插件
    • Cydia疑難雜症
    • tvOS越獄
  • 開箱評測
  • 3C科技
    • Facebook
    • Instagram
    • LINE
    • Netflix
    • Gogoro
    • 瀏覽器
    • 限時免費
  • 下載
    • iOS韌體下載
    • 桌布

非經授權請勿全文轉貼 隱私權政策 | 歡迎iPhone週邊業者、手機商和App軟體開發者合作和產品測試事宜,聯繫瘋先生