安全公司ZecOps已发布有关影响iPhone和iPad的安全漏洞的研究。苹果尚未修补这些严重缺陷,据说这些缺陷已被积极地用于瞄准新闻记者,《财富》 500强公司员工和VIP这类知名用户。
尤其令人担忧的是,可以通过发送一条看起来空白的消息来利用这些缺陷。该消息在iOS Mail中打开,可用于运行代码和监视活动,而无需受害者与之进行任何交互。有建议说一个民族国家可以参与其中。
ZecOps在有关其发现的博客文章中说:
在对iOS数字取证和事件响应(DFIR)进行例行调查之后,ZecOps发现了可疑事件,这些事件最早可追溯到2018年1月,影响了iOS上的默认Mail应用程序。 iPad。ZecOps在很长一段时间内,在企业用户,VIP和MSSP上狂野地检测到了多个触发此漏洞的触发器。
攻击的范围包括向受害者的邮箱发送特制电子邮件,使其能够在iOS 12上的iOS MobileMail应用程序或在iOS 13上发送的邮件中触发该漏洞。基于ZecOps Research和Threat Intelligence, 我们充满信心地推测这些漏洞-尤其是远程堆溢出- 由高级威胁运算符在针对性攻击中被广泛利用。
ZecOps上个月向苹果通报了该漏洞,而iPhone制造商并未意识到零时差。受害者无需进行任何互动的事实意味着,作为目标的人极不可能知道发生了什么事。
安全研究人员说:
我们认为,这些攻击与至少一个民族威胁运营商或以概念验证(POC)等级从第三方研究人员购买漏洞并以“原样”使用或与次要状态相关的一个民族相关修改(因此4141..41字符串)。
虽然ZecOps阻止将这些攻击归因于特定的威胁参与者,但我们知道至少有一个“雇用黑客”组织正在利用利用电子邮件地址作为主要标识符的漏洞来销售漏洞利用程序。
到目前为止,ZecOps意识到许多目标:
来自北美财富500强企业的个人
日本某航空公司的高管
来自德国的贵宾
来自沙特阿拉伯和以色列的MSSP
欧洲记者
怀疑:一家瑞士企业的高管
ZecOps解决了为什么它选择在补丁可用之前公开详细的漏洞的问题,ZecOps说:
仅这些错误就不会对iOS用户造成伤害-因为攻击者随后需要附加的infoleak错误和内核错误,才能完全控制目标设备。
在公开发布的Beta更新中,这两个bug均已被披露。攻击者已经意识到MobileMail / maild的千载难逢的机会,他们很可能会花时间直到有可用的补丁程序来攻击尽可能多的设备。
通过非常有限的数据,我们可以看到至少有六个组织受到此漏洞的影响-对该漏洞的潜在滥用是巨大的。我们相信,必须使用公共触发器尽快为此类问题提供补丁。
尽管苹果尚未为所有iPhone和iPad用户发布补丁,但据说iOS 13.4.5的beta版解决了该漏洞。