4月23日凌晨,位于旧金山的网络安全公司ZecOps对外表示,他们在对客户设备进行例行的数字取证时,发现了默认的iOS和iPadOS邮件应用中的两个漏洞。经过进一步的调查,他们发现了含有针对性的攻击证据,他们在周三的一份报告中概述了这两个漏洞。
据悉,这些漏洞允许攻击者通过利用iOS 12和iOS 13中的MobileMail和Mailid进程,通过使用特别制作的邮件来运行远程代码。而且,如果触发得当,用户不会知道自己被黑客攻击。研究人员表示,该漏洞的变体至少可以追溯到iOS 6。
由于该漏洞是在苹果发出补丁之前用于攻击用户的,因此将其视为零日攻击,通常iOS零日漏洞非常罕见,而且要价非常昂贵。ZecOps宣称,其中一个漏洞可以让攻击者通过发送消耗大量内存的邮件来远程感染iOS设备,而另一个漏洞可以允许远程代码执行。利用这些漏洞,攻击者可以泄露、修改和删除用户的电子邮件。
据悉,苹果已经在最新的iOS 13.4.5测试版中修复了安全漏洞。iOS 13.4.5正式版应该会在未来几周内公开发布。在此期间,ZecOps建议用户使用Gmail或Outlook等第三方电子邮件App。