4月23日消息，今天早些時(shí)候，舊金山的網(wǎng)絡(luò)安全公司ZecOps表示，他們?cè)趯?duì)客戶設(shè)備進(jìn)行例行的數(shù)字取證時(shí)，發(fā)現(xiàn)了默認(rèn)的iOS和iPadOS郵件應(yīng)用中的兩個(gè)漏洞。經(jīng)過進(jìn)一步的調(diào)查，他們發(fā)現(xiàn)了有針對(duì)性的攻擊證據(jù)，他們?cè)谥苋囊环輬?bào)告中概述了這兩個(gè)漏洞。

這些漏洞允許攻擊者通過利用iOS 12和iOS 13中的MobileMail和Mailid進(jìn)程，通過使用特別制作的郵件來運(yùn)行遠(yuǎn)程代碼。而且，如果觸發(fā)得當(dāng)，用戶不會(huì)知道自己被黑客攻擊。研究人員表示，該漏洞的變體至少可以追溯到iOS 6。

蘋果公司發(fā)言人承認(rèn)，iPhone和iPad上的電子郵件軟件(即Mail應(yīng)用)存在漏洞，并表示該公司已經(jīng)開發(fā)了一個(gè)修復(fù)程序，將在即將發(fā)布的軟件更新中推出。但該公司拒絕對(duì)阿夫拉哈姆周三發(fā)表的研究置評(píng)，這項(xiàng)研究表明該漏洞可被遠(yuǎn)程觸發(fā)，而且已被黑客用來攻擊一些知名用戶。阿夫拉哈姆稱，他發(fā)現(xiàn)有證據(jù)表明，早在2018年1月就有一個(gè)惡意程序利用了這個(gè)iOS移動(dòng)操作系統(tǒng)漏洞，但無法確定黑客的具體身份。

ZecOps表示，在上述案例中，黑客通過Mail應(yīng)用向受害者發(fā)出一份空白電郵，導(dǎo)致后者的系統(tǒng)崩潰并重置，而系統(tǒng)崩潰令黑客得以竊取照片和聯(lián)系人信息等其他數(shù)據(jù)。

據(jù)悉，蘋果已經(jīng)在最新的iOS 13.4.5測(cè)試版中修復(fù)了安全漏洞。iOS 13.4.5正式版應(yīng)該會(huì)在未來幾周內(nèi)公開發(fā)布。

使用Gmail或Outlook等第三方電子郵件App的用戶暫時(shí)不會(huì)被這些漏洞攻擊，建議用戶先使用這些第三方APP。