Categories
科技會報

iOS 原生郵件應用似乎成為了惡意程式攻擊的缺口


The Mail application is seen on an iPhone in this photo illustration on January 29, 2019. (Photo by Jaap Arriens/NurPhoto via Getty Images)
安全研究中心 ZecOps 向華爾街日報表示,iOS 的原生郵件app 存在著漏洞,可讓駭客毋須誘導使用者做出任何輸入動作(像是點擊連結或下載檔案),就能攻擊目標裝置,而且裝置在被入侵後更不會有異狀。 ZecOps 沒有詳細說明如何實現,但透露了是有傳送一串特定的訊息內容。

ZecOps 更指他們有證據顯示這漏洞已經被駭客利用了至少兩年,攻擊了6 個不同目標,包括日本電訊公司職員、大型北美企業、以色列和沙特阿拉伯的科技企業、一個德國人和一個歐洲記者。

可惜的是 ZecOps 提出的所謂線索是相當難用以舉證的,因為他們是在 iOS 裡的蛛絲馬跡發現,而且相關郵件一旦被刪除就不會再有惡意程式的痕跡。另一家安全研究中心 Jamf Software 的研究員 Patrick Wardle 也表示,這種攻擊是「強制執行」的,並非透過「授權」而發生。

我們已經向 Apple 查詢,而調查人員表示相信 iOS beta 裡已經修正了相關的漏洞,所以大概也不會再發生。然而如果漏洞是確實存在的話,那就代表 iOS 用戶原來一直曝露在危險之中。