多位富豪或因此遭受攻擊？

相對封閉的iOS系統一直以其安全性而聞名，但嚴格來說，信息安全領域沒有絕對的安全性，甚至iOS也會存在漏洞。

例如，安全公司ZECOPS宣布了iOS系統的最新安全漏洞。從iOS 6到最新版本iOS 13.4.1均存在此安全漏洞。

經過評估，研究人員認為漏洞非常有害，因此他們已緊急聯系Apple進行修復。

該漏洞允許遠程執行代碼，攻擊者可以通過發送垃圾郵件來遠程感染目標設備，并且用戶在受到攻擊時沒有明顯的感知。攻擊者在嘗試攻擊和感染時不需要用戶執行任何交互式操作。

攻擊原理主要是通過郵件耗盡目標設備的內存來觸發漏洞。有很多方法可以耗盡內存，例如郵件轟炸或惡意代碼。

堆棧溢出漏洞被廣泛使用，攻擊者可以使用該漏洞觸發甚至秘密感染目標設備，而無需從目標設備下載完整的電子郵件。

電子郵件的內容可以在不殘留在設備上的情況下被利用，因此很難發現異常，攻擊者還可以通過其他方式自動清除電子郵件。

在iOS 13.x系列上，只要系統自己的郵件應用程序在后臺運行，在這種情況下，無需用戶干預即可入侵攻擊者。

在iOS 12.x系列上，攻擊者需要用戶打開垃圾郵件來利用此漏洞，但用戶在打開電子郵件時不會發現任何異常。

如果攻擊者能夠控制郵件服務器，則即使iOS 12.x系列也不需要用戶操作，即直接郵件可能會被感染。

該漏洞出現在2012年發布iPhone 5時發布的iOS 6.0版本中，并且該漏洞仍然存在于最新的iOS 13.4.1版本中。

據研究人員稱，Apple已在iOS 13.4.5 Beta版本中修復了該漏洞，但該版本尚未推送到官方渠道。

建議用戶不要使用iOS系統隨附的郵件應用程序。第三方郵件應用程序（例如Outlook和Gmail）的使用不會受到影響。

另外，蘋果公司已經在后端服務器上部署了緩解措施，應該能夠攔截目標惡意郵件，但這只是一個臨時解決方案。

可以在沒有用戶交互的情況下被iOS系統感染的漏洞的購買價通常在100萬美元左右。這次發現了這種非交互式漏洞。

不幸的是，經過長時間的調查，安全公司發現該漏洞至少自2018年1月以來就已經被利用，并且已經形成了相當廣泛的攻擊。

黑客的目標包括北美的財富500強企業家，日本航空公司的高管，德國的VIP，沙特阿拉伯和以色列的安全公司以及歐洲新聞工作者。

此外，該安全公司的調查還顯示，瑞士公司高管也可能成為黑客的目標，但在現階段，沒有足夠的證據確定攻擊是否成功。

從以上攻擊目標來看，此漏洞的價值已遠遠超過一百萬美元，甚至可以毫不夸張地說，該漏洞的應用價值已超過一億美元。

經過有針對性的分析，安全研究人員發現Apple Mail漏洞主要是由于庫缺少用于系統級調用的必要錯誤檢查過程所致。

漏洞可能導致越界寫入，并且還存在一個遠程觸發的堆棧溢出問題，因此，實際上，這由兩個漏洞組成，并且都被利用。

出于安全原因，研究人員沒有透露該漏洞的更多細節，但研究人員分享了iPhone受到攻擊時發生的情況。

如果在iOS 12.x系列上收到攻擊者發送的電子郵件，則郵件應用程序可能會崩潰。這是迄今為止已知的唯一異常表現。

在iOS 13.x系列上接收電子郵件的用戶可能會突然發現在打開電子郵件時系統被卡住了，他們會發現系統提示消息中沒有內容。

對代碼級分析感興趣的用戶可以單擊此處查看。Apple完全修復了漏洞后，研究人員應宣布更多詳細信息。