苹果喜欢标榜其iOS平台的安全性,但没有一个操作系统是完美无瑕的。我们见过针对iPhone的黑客攻击,但它们很少是让苹果措手不及的所谓“零日”黑客攻击。来自网络安全公司ZecOps的研究人员表示,他们已经在自然环境中发现了这种攻击。据ZecOps创始人Zuk Avraham表示,苹果邮件应用程序中的一个漏洞允许攻击者在不与用户进行任何交互操作的情况下用恶意软件感染设备,目前该漏洞正被用于攻击一些知名目标。
前以色列国防军安全研究员Avraham表示,在此前一些客户报告了邮件应用程序中的异常崩溃后,该公司去年开始调查这一漏洞。该公司将这些错误归咎于iOS最新版本中两个此前未知的漏洞。其中一个是“零点击”漏洞,这意味着用户根本无需与恶意信息进行交互操作。简单地在邮件应用程序中接收它就足以触发有效负载。
据报道,这个邮件漏洞与其他一些攻击相比显得很笨拙。它依赖于发送超大容量的电子邮件,而这类电子邮件可能会被一些电子邮件提供商屏蔽。它还仅限于iOS的邮件客户端。如果有人选择使用Gmail或其他应用程序,攻击将不起作用。虽然它不是最复杂的方式,但它仍然是零日漏洞,这意味着苹果没有恰当的防御措施。单凭这一点就能让黑客攻击变得非常有价值。任何类型的零日攻击都是有价值的,但iOS的漏洞尤其受到关注。安卓系统是开放源代码的,因此其他人很有可能会发现漏洞。而iOS系统是封闭源代码的,技术较高的黑客用更长的时间就能攻破,直到有更多顾虑的人偶然间发现它。
Avraham认为,攻击来自于一个未知的第三方,但已经被卖给至少一个由政府支持的黑客组织。目前他们的目标包括大中型企业的高层管理人员,所以你现在不必太担心。按最坏的情况考虑,你可以停止使用iOS的邮件应用程序,直到苹果推出更新补丁。你也不用等太久。苹果确认ZecOps发现的漏洞已经在最新的iOS测试版中得到了修补。该版本将在未来几周内向大众发布。
