iPhone 曝出“惊天漏洞”，波及全球超 5 亿部苹果手机

近日，网络安全公司 ZecOps 发布了一份研究报告，报告称，ZecOps 公司在调查一起客户网络攻击事件中发现 iPhone 和 iPad 存在两个零日漏洞，其中，漏洞可能影响全球超 5 亿部苹果手机，危害极大。

据悉，这两个零日漏洞主要与 iPhone 和 iPad 中内置的苹果官方邮件应用 Mail App 有关。利用上述漏洞，攻击者可以通过发送空白电子邮件的方式，强制在目标手机上执行任意代码，从而为攻击者窃取设备上的数据打开“方便之门”，比如偷取照片和获取联系方式等。

ZecOps 还表示，即使运行着最近的 iOS 版本，漏洞仍然允许攻击者远程窃取 iPhone 数据。“只要是 Mail App 可以访问的，漏洞都能访问，包括设备中的机密信息”。

加拿大学术安全研究组织 Citizen Lab 的安全研究者 Bill Marczak 形容上述漏洞“很可怕”。

据路透社报道，一名苹果公司发言人承认 iPhone 和 iPad 中默认的邮件应用程序 Apple Mail 存在漏洞。苹果公司计划开发一个修复程序，并将很快准备发布一个安全更新。

查出大事

据了解，ZecOps 是一家位于旧金山的移动安全公司。在调查一起客户网络攻击事件中，这家公司发现大量可疑且影响 iOS 上默认邮箱应用的事件。之后，ZecOps 分析，这些事件和对漏洞利用的发现还影响苹果的 iPhone 和 iPad。

这家公司还查明，长期以来，漏洞的在野利用主要是针对企业用户、VIPS 和 MSSPs。

作为 ZecOps 的总经理，Zuk Avraham 表示：他已经从利用苹果 iOS 漏洞的恶意项目中找到相关证据。有两名独立的安全研究者，审查了其发现结果，他们认为证据可信，但是也表示它们没有完全再现其发现成果。

事实上，至少从 2018 年 1 月，这两个漏洞已经被用于针对 iOS 高级别用户的系列攻击行动中。

截至目前，这家公司称其检测到针对以下目标的攻击企图 / 尝试：

• 一家位于北美的财富 500 的企业（员工）

• 一家日本运营商的高管；

• 一名德国 VIP；

• 来自沙特阿拉伯和以色列的 MSSPs；

• 一名欧洲记者；

• 一家瑞士企业的高管疑遭攻击

更多细节

根据 ZecOps 的研究报告，我们得知：这两个零日漏洞位于苹果邮件应用程序使用的 MIME 库中，其中一个漏洞会造成越界读写错误，另一个漏洞会触发堆溢出错误。并且，这两个漏洞都是在野外触发的。

相比第一个漏洞，第二个漏洞危害更大。因为后者可以实现“零点击”利用，无需用户与苹果邮箱应用交互。一旦用户收到邮件或打开苹果 Mail App，攻击即被触发。“漏洞允许在 iOS 12 或 iOS 13 中执行远程代码，”ZecOps 团队说，“对漏洞的成功利用将允许攻击者泄露、修改和删除受害者设备中的邮件。”

具体而言，在 iOS 12 系统中，用户需要先点击电子邮件才能触发该漏洞，但是如果攻击者控制了邮件服务器，则无需点击邮件就能实现攻击；在 iOS 13 系统上，一旦在后台打开苹果 Mail 应用程序，就能实现“零点击”攻击。

以色列国防军前安全研究员 Avraham 对此表示，他怀疑这种黑客技术是一系列恶意程序的一部分，其余程序未被发现，这可能让攻击者拥有完全的远程访问权限。

不过，研究者也表示，漏洞对 Gmail 或其他邮件客户端没有任何影响。

ZecOps 披露了受影响的 iOS 版本：

• 所有的 iOS 测试版本（包括 iOS 13.4.1) 都存在这个漏洞；

• 基于已有的数据表明，iOS 11.2.2 和可能更早的版本更容易触发 bug。

更严重的是，漏洞甚至存在于苹果 2012 年发布的 iOS 6 中。这意味着，这两个漏洞至少已经存在 8 年之久，并且影响到目前苹果几乎所有的 iOS 版本。不过，除邮件使用速度短暂下降外，用户却很难察觉到异常。

在市场上，零日漏洞一直颇受“欢迎”。有一类公司专门收集各类零日漏洞，再高价卖给政府和执法机构等有需求的客户，比如 Zerodium 公司（它被誉为“网络军火商”）。2015 年，在 Zerodium 举办的一场漏洞赏金比赛中，有一名黑客因发现 iOS 9 系统中一个零日漏洞，赢得 100 万美元的奖金。2016 年，iOS 10 发布，Zerodium 愿意支付 150 万美元来购买具有同样功能的零日漏洞。

后来，零日漏洞的收购价不断提高，Zerodium 在 2019 年更新了零日漏洞价格。其中，iOS 和安卓的 RCE + LPE 非持久性零点击漏洞此前的收购价是 100 万美元，如今已上涨到 150 万美元。

ZecOps 表示，该公司在 1 月 19 日通知苹果公司，但是 ZecOps 的研究发现被苹果公司视为一个普通的 bug。

4 月 15 日，在发布的 iOS 13.4.5 beta 中，苹果添加了针对漏洞的修复程序。

4 月 23 日，苹果发布最新声明：

苹果公司严肃对待所有安全威胁的相关报告。针对 ZecOps 的研究报告，我们已经进行了仔细调查。根据调查结果，我们发现这些漏洞不会给用户带来直接风险。研究人员确定了 Mail 中的三个漏洞，但是仅凭它们不足以绕过 iPhone 和 iPad 的安全保护，而且我们还没有发现它们被用来攻击客户的证据。我们将在最新的软件更新中将加入修复程序。

建议举措

目前，ZecOps 提醒 iOS 用户注意防范这种攻击。并且，该公司建议用户不要使用苹果 Mail App，可以使用其他邮箱应用，比如 Gmail、Outlook、QQ 邮箱、Foxmail 和网易邮箱等。此外，一旦 iOS 13.4.5 立即可用，他们最好立刻下载安装最新系统。

更多技术细节，请参见 ZecOps 的研究。