iOS系统出现惊天漏洞感染任意iPhone均可被感染 苹果正在紧急修复中
较为封闭的iOS系统向来以安全性著称 , 不过在信息安全领域严格来说没有绝对的安全 , 即便是iOS也会存在漏洞。
比如国外安全公司ZECOPS公布iOS系统的最新安全漏洞 , 该安全漏洞自iOS 6开始到iOS 13.4.1 (最新版) 均存在。
此次安全漏洞值得关注的只要有以下原因 : 1.无需用户交互即可利用 ; 2.可远程触发 ; 3.攻击者已在野外遭到利用。
经过评估后研究人员认为该漏洞危害度极高因此已经紧急联系苹果进行修复,目前苹果正在后端服务器进行缓解。
关于此次漏洞的基本情况如下:
1.该漏洞允许远程执行代码并且攻击者可以通过滥发邮件的方式远程感染目标设备,用户遭到攻击时无明显感知。
2.攻击者尝试进行攻击和感染时不需要用户执行任何交互操作,也就是用户即便夜间将手机锁屏充电也可能感染。
3.攻击原理主要是通过邮件耗尽目标设备内存来触发漏洞,如何耗尽内存有多种方式例如邮件轰炸或者恶意代码。
4.堆栈溢出漏洞被广泛使用、攻击者借助漏洞甚至不需要目标设备完整下载邮件即可触发进而秘密感染目标设备。
5.邮件内容不需要保留在设备上即可利用漏洞因此难以发现异常、攻击者也可能可以通过其他方式自动清空邮件。
6.在iOS 13.x系列上只要系统自带的邮件应用在后台运行即可 , 在这种条件下攻击者无需用户执行交互即可感染。
7.在iOS 12.x系列上攻击者需要用户打开垃圾邮件才可以利用漏洞 , 但是用户打开邮件不会发现有任何异常情况。
8.如果攻击者有能力控制邮件服务器甚至还可以在iOS 12.x系列上不需要用户操作 , 即直接发送邮件即可感染等。
9.该漏洞自2012年的iPhone 5发布时推出的iOS 6.0 版中就出现,到最新的iOS 13.4.1版中该漏洞依然还是存在。