近日,网络安全公司 ZecOps 发布了一份研究报告,报告称,ZecOps 公司在调查一起客户网络攻击事件中发现 iPhone 和 iPad 存在两个零日漏洞,其中,漏洞可能影响全球超 5 亿部苹果手机,危害极大。
据悉,这两个零日漏洞主要与 iPhone 和 iPad 中内置的苹果官方邮件应用 Mail App 有关。利用上述漏洞,攻击者可以通过发送空白电子邮件的方式,强制在目标手机上执行任意代码,从而为攻击者窃取设备上的数据打开“方便之门”,比如偷取照片和获取联系方式等。
ZecOps 还表示,即使运行着最近的 iOS 版本,漏洞仍然允许攻击者远程窃取 iPhone 数据。“只要是 Mail App 可以访问的,漏洞都能访问,包括设备中的机密信息”。
加拿大学术安全研究组织 Citizen Lab 的安全研究者 Bill Marczak 形容上述漏洞“很可怕”。
据路透社报道,一名苹果公司发言人承认 iPhone 和 iPad 中默认的邮件应用程序 Apple Mail 存在漏洞。苹果公司计划开发一个修复程序,并将很快准备发布一个安全更新。
查出大事
据了解,ZecOps 是一家位于旧金山的移动安全公司。在调查一起客户网络攻击事件中,这家公司发现大量可疑且影响 iOS 上默认邮箱应用的事件。之后,ZecOps 分析,这些事件和对漏洞利用的发现还影响苹果的 iPhone 和 iPad。
这家公司还查明,长期以来,漏洞的在野利用主要是针对企业用户、VIPS 和 MSSPs。
作为 ZecOps 的总经理,Zuk Avraham 表示:他已经从利用苹果 iOS 漏洞的恶意项目中找到相关证据。有两名独立的安全研究者,审查了其发现结果,他们认为证据可信,但是也表示它们没有完全再现其发现成果。
事实上,至少从 2018 年 1 月,这两个漏洞已经被用于针对 iOS 高级别用户的系列攻击行动中。
截至目前,这家公司称其检测到针对以下目标的攻击企图 / 尝试:
一家位于北美的财富 500 的企业(员工)
一家日本运营商的高管;
一名德国 VIP;
来自沙特阿拉伯和以色列的 MSSPs;
一名欧洲记者;
一家瑞士企业的高管疑遭攻击
更多细节
根据 ZecOps 的研究报告,我们得知:这两个零日漏洞位于苹果邮件应用程序使用的 MIME 库中,其中一个漏洞会造成越界读写错误,另一个漏洞会触发堆溢出错误。并且,这两个漏洞都是在野外触发的。
相比第一个漏洞,第二个漏洞危害更大。因为后者可以实现“零点击”利用,无需用户与苹果邮箱应用交互。一旦用户收到邮件或打开苹果 Mail App,攻击即被触发。“漏洞允许在 iOS 12 或 iOS 13 中执行远程代码,”ZecOps 团队说,“对漏洞的成功利用将允许攻击者泄露、修改和删除受害者设备中的邮件。”
具体而言,在 iOS 12 系统中,用户需要先点击电子邮件才能触发该漏洞,但是如果攻击者控制了邮件服务器,则无需点击邮件就能实现攻击;在 iOS 13 系统上,一旦在后台打开苹果 Mail 应用程序,就能实现“零点击”攻击。
以色列国防军前安全研究员 Avraham 对此表示,他怀疑这种黑客技术是一系列恶意程序的一部分,其余程序未被发现,这可能让攻击者拥有完全的远程访问权限。
不过,研究者也表示,漏洞对 Gmail 或其他邮件客户端没有任何影响。
ZecOps 披露了受影响的 iOS 版本:
所有的 iOS 测试版本(包括 iOS 13.4.1) 都存在这个漏洞;
基于已有的数据表明,iOS 11.2.2 和可能更早的版本更容易触发 bug。
更严重的是,漏洞甚至存在于苹果 2012 年发布的 iOS 6 中。这意味着,这两个漏洞至少已经存在 8 年之久,并且影响到目前苹果几乎所有的 iOS 版本。不过,除邮件使用速度短暂下降外,用户却很难察觉到异常。
在市场上,零日漏洞一直颇受“欢迎”。有一类公司专门收集各类零日漏洞,再高价卖给政府和执法机构等有需求的客户,比如 Zerodium 公司(它被誉为“网络军火商”)。2015 年,在 Zerodium 举办的一场漏洞赏金比赛中,有一名黑客因发现 iOS 9 系统中一个零日漏洞,赢得 100 万美元的奖金。2016 年,iOS 10 发布,Zerodium 愿意支付 150 万美元来购买具有同样功能的零日漏洞。
后来,零日漏洞的收购价不断提高,Zerodium 在 2019 年更新了零日漏洞价格。其中,iOS 和安卓的 RCE + LPE 非持久性零点击漏洞此前的收购价是 100 万美元,如今已上涨到 150 万美元。
ZecOps 表示,该公司在 1 月 19 日通知苹果公司,但是 ZecOps 的研究发现被苹果公司视为一个普通的 bug。
4 月 15 日,在发布的 iOS 13.4.5 beta 中,苹果添加了针对漏洞的修复程序。
4 月 23 日,苹果发布最新声明:
苹果公司严肃对待所有安全威胁的相关报告。针对 ZecOps 的研究报告,我们已经进行了仔细调查。根据调查结果,我们发现这些漏洞不会给用户带来直接风险。研究人员确定了 Mail 中的三个漏洞,但是仅凭它们不足以绕过 iPhone 和 iPad 的安全保护,而且我们还没有发现它们被用来攻击客户的证据。我们将在最新的软件更新中将加入修复程序。
建议举措
目前,ZecOps 提醒 iOS 用户注意防范这种攻击。并且,该公司建议用户不要使用苹果 Mail App,可以使用其他邮箱应用,比如 Gmail、Outlook、QQ 邮箱、Foxmail 和网易邮箱等。此外,一旦 iOS 13.4.5 立即可用,他们最好立刻下载安装最新系统。
更多技术细节,请参见 ZecOps 的研究。
评论