(原标题:Two Apple Mail vulnerabilities being used to target iPhone, iPad users)
网易科技讯 4月23日音讯,据外媒报导,美国网络安全公司ZecOps的研究人员于当地时间周三宣告,他们在苹果iPhone和iPad的电子邮件使用程序中发现了两个零日缝隙。
研究人员说,这两个缝隙的变体还能够追溯到2012年发布的iOS 6身上,这在某种程度上预示着黑客现已运用它们对iPhone和iPad用户进行了长达八年的进犯。假如设备被感染,用户乃至不知道他们正在被黑客进犯。
第一个缝隙答应黑客经过发送耗费很多内存的电子邮件来感染iOS设备,它自身并不会给用户带来太大危险,只答应进犯者走漏、修正或删去电子邮件。但它们在即就是最新版别的iOS中也仍然有用,黑客运用邮件使用程序能够拜访的任何内容,包含机密音讯。
第二个缝隙则运用苹果的MobileMail和Mailid进程来运转长途代码。与另一种内核进犯(如无法打补丁的Checkm8缝隙)相结合,这个缝隙或许会答应进犯者以超级用户身份拜访特定方针设备。
ZecOps在其陈述中发现,有些客户渐渐的变成了方针。风趣的是,虽然有依据标明这些缝隙是在方针设备上履行的,但电子邮件自身并不存在危险。这标明袭击者删去这些电子邮件是为了掩盖他们的踪影。
安全研究人员表明,与其他黑客比较,该缝隙相对来说还不行完善,这在某种程度上预示着经历比较丰富的进犯者或许会以为,运用该缝隙抵挡重要方针危险太大。
尽管如此,ZecOps指出,运用这些缝隙的进犯或许会增加,由于它们现在被揭露发表,这在某种程度上预示着正常用户终究也或许成为进犯方针。假如运用这些缝隙的网络犯罪分子可经过额定的缝隙,那么这种状况就会变得更危险。
这些缝隙只影响本地邮件使用程序,而不影响第三方使用程序。为了下降遭到进犯的危险,ZecOps主张用户在发布补丁之前停止运用iOS和iPadOS上的Mail,转而运用第三方电邮使用。
ZecOps表明,它在2月份提示苹果留意这些缝隙。自那今后,这两个缝隙都现已在iOS 13的最新测试版中得到了修正,iOS和iPadOS 13.4.5的下一次揭露发布的iOS更新中也将增加补丁。(小小)
