iPhone、iPad用戶如果收到一封空白郵件,那可得分外當心,駭客有可能藉此竊走你存放在手機、平板中的資料。資安公司ZecOps本週公佈存在於蘋果預設信箱App的漏洞,超過半數iPhone用戶恐暴露於資安風險中。
從2019年底開始,ZecOps便著手針對這個漏洞進行調查。執行長艾夫拉罕(Zuk Avraham)透露,早在2018年就有6起資安攻擊事件中,運用上這個資安漏洞。
ZecOps聲稱,這個漏洞最早可追溯到2012年推出的iOS 6作業系統。艾夫拉罕則指出,他們手中的證據顯示,早從2018年1月開始,就有駭客在利用此漏洞,但無法確認對方的身份。
本週發布的一份報告指出,這些漏洞早已被駭客廣泛利用,並被使用在針對特定關鍵人士,例如跨足多個產業的高管、《Fortune》2000強企業中的員工,或是資安服務供應商等小型公司。
不用點擊,一封空白郵件就能入侵iPhone
艾夫拉罕解釋,駭客可以針對目標發送一封乍看之下全然空白的電子郵件,強制令系統當機,並提供駭客竊取手機內部圖片、電話號碼等資料的管道,即使是最新的iOS版本也無法倖免。
這種漏洞非常危險,任何iPhone用戶都可能成為攻擊對象,並且無須使用者點擊觸發,對普通人來說防無可防。不過ZecOps強調,只有蘋果iPhone或iPad的預設郵件App存在漏洞,MacOS系統沒有此問題,使用Gmail或Outlook等服務也沒有風險。
不過,雖然看似是封空白郵件,該郵件實際上容量相當大,這種信件有可能會被服務商給自動攔截,不一定能到達目標手中。
ZecOps聲稱這是一個「零日漏洞」,意指開發者尚未推出更新程式防堵的系統缺失,對於使用者來說格外危險。並且他們發現在美國、日本、德國、沙烏地阿拉伯、以色列等地都有企業遭受這項漏洞攻擊。
加拿大Citizen Lab資安專家馬克扎克(Bill Marczak)表示,無論你對資安防護有多熟悉,這個漏洞都可以輕易突破防線,竊取你的資料。
蘋果在測試板加入修復更新,近期可望防堵漏洞
由於蘋果產品的高安全性,iPhone漏洞對駭客來說價值連城,甚至有買家願意出100萬美元購買iPhone漏洞。就連各國政府都希望能得到破解手段,因為這可幫助警調單位從犯罪者、恐怖分子的手機中,取得更關鍵的資訊。
儘管蘋果對於ZecOps發布的研究報告不予置評,其發言人坦承,iPhone及iPad預設的郵件App存在漏洞。鑑於事情的嚴重程度,蘋果也已經開始動作,目前已在測試版中的iOS系統加入修補更新。
從目前案例看來,這項漏洞基本上被應用在針對特定關鍵人物的入侵,非撒網式的大規模攻擊,這意謂絕大多數一般用戶只要耐心等待蘋果正式發布更新即可,或許不必太過恐慌。
資料來源:Vice、Reuter、TechCrunch
責任編輯:陳映璇
