蘋果郵件App驚爆漏洞 估5億用戶暴露於危險之中
資安公司發現 iOS 的嚴重漏洞,駭客可經由「郵件」App攻擊用戶設備,且使用者甚至不需要有任何行動,你的設備就可能被攻陷,讓私人重要資料被竊。圖爲 iOS 13 示意圖。(黃慧雯攝)
你經常使用 iPhone、iPad 內建的「郵件」(Mail)App 來閱讀、撰寫電子郵件嗎?要注意囉。舊金山資訊安全公司 ZecOps 發現了存在於蘋果(Apple Inc.) iOS 當中的嚴重漏洞,可讓駭客透過遠端攻擊使用者的 iPhone 或是 iPad,而且其中一個漏洞甚至不需要使用者有任何行動(zero-click exploit)就能觸發,預估可能讓多達 5 億的 iPhone、iPad 暴露在容易遭受駭客攻擊的危險之中。
根據 ZecOps 的研究,他們發現了在蘋果 iOS 系統中、存在於郵件 App 中的嚴重漏洞,其中有 2 個甚至影響最新版本的 iOS(iOS 13),且研究發現這個嚴重漏洞存在已久,至少在 iOS 6(與iPhone 5一同發表)就已經存在。對此,蘋果發言人證實,iPhone 和 iPad 的電子郵件(Mail App)存在漏洞,而蘋果已經開發了修復程式即將正式釋出。蘋果拒絕對於 ZecOps 的發現予以評論。
據瞭解,ZecOps 所發現存在蘋果 iOS 中「郵件」App 的漏洞,駭客可藉此向目標發出一封空白郵件,就可以讓受害者的設備當機、重新啓動,而當機的情況可讓駭客藉此竊取到聯絡人資訊還有照片等私人資料。ZecOps CEO Zuk Avraham 指出,他們是在 2019 年調查客戶受到複雜網路攻擊的事件中發現這個漏洞,並且認爲有證據指出至少有 6 次的網路入侵,駭客都是利用了這個漏洞。根據研究結果,駭客鎖定的攻擊目標包含北美地區的《財富》全球500強企業、日本航空公司高階主管、一位德國的 VIP,還有一位歐洲地區的記者等。
所幸,蘋果已經在 iOS 13.4.5 當中修復了上述漏洞。蘋果 iOS 以及 iPadOS 最新的正式版本都是 iOS 13.4.1,。而 iOS 13.4.5 在近日則是釋出了 beta 2(第二個測試版),距離正式推出已經不遠。而在系統存在漏洞的情況被曝光後,或許蘋果有可能加速 iOS 13.4.5 的研發進程,儘速推出正式版供使用者下載更新。
ZecOps 方面指出,這項漏洞僅有使用蘋果內建的「郵件」App纔會受到攻擊,第三方郵件 App 例如 Gmail、Outlook App 不會受到此漏洞影響,但是透過內建「郵件」App 開啓 Gmail 郵件的方式會不會受到此漏洞影響,他們則還沒有具體定論。在蘋果釋出 iOS 13.4.5 正式版之前,ZecOps 建議 iPhone、iPad 的使用者們可以暫時透過第三方郵件 App 來收發電子郵件。