文/曉查白交

　　來源：量子位（ID:QbitAI）

　　你的 iPhone 不安全，就算靜靜地躺在那里也不安全。

　　最新曝光，來自國外安全團隊ZecOps公布了一個驚天大漏洞，估測涉及 5 億用戶。

　　而且該漏洞在 iOS 系統里已存在 8 年之久，從iOS 6到iOS 13.4.1的設備全部中招……

　　什么概念？

　　幾乎所有的 iPhone 用戶和 iPad 用戶，都可能會中招——除非你在用的是運行 iOS 5 的iPhone 4s或者更低版本的 iPhone。

　　更可怕的是，這個漏洞不需要用戶任何點擊，只要給用戶發送一封電子郵件，甚至郵件還在下載過程中，就能觸發漏洞攻擊。

　　但鬼故事還在后面。

　　該團隊發現最早的攻擊行為出現了 2018 年 1 月，也就是說黑客已經肆無忌憚地利用這個漏洞攻擊了兩年。

　　而且蘋果只能等到下一次 iOS 更新才能徹底堵上它。

　　中毒后會有什么癥狀？

　　除了手機郵件 App 暫時的速度下降之外，用戶一般不會觀察到任何其他的異常行為。

　　黑客在 iOS 12 上嘗試利用漏洞后，用戶可能會遭遇郵件 App 突然崩潰的現象，之后會在收件箱里看到“此消息無內容”這樣的郵件。

　　而在 iOS13 上，攻擊更為隱蔽。

　　如果黑客在攻擊成功后再進行一次攻擊，還能刪除電子郵件，用戶看不到任何跡象。

　　如果看到自己的郵件 App 里有類似的信息，那你就要小心了，說明黑客已經盯上了你。

　　現在，這一漏洞使攻擊者，可以在默認的郵件 App 的上下文中運行代碼，從而可以讀取、修改或刪除郵件。

　　附加的內核漏洞還可以提供完全的設備訪問權限，所以 ZecOps 團隊懷疑黑客還掌握著另一個漏洞。

　　不過，ZecOps 團隊發現，黑客攻擊的目標主要集中在企業高管和國外記者的設備上，如果你不在此列，暫時不必過于擔心。

　　漏洞是什么？

　　這一漏洞可以允許執行遠程代碼，通過向設備發送占用大量內存的電子郵件使其感染。

　　另外有很多方法可以耗盡 iPhone 的內存資源，比如發送 RTF 文檔。

　　ZecOps 發現，導致這一攻擊成功的原因是，MFMutableData 在 MIME 庫中的實現，缺少對系統調用的錯誤檢查，ftruncate ()會導致越界寫入。

　　他們找到了一種無需等待系統調用失敗，即可觸發 OOB 寫入的方法，還發現了可以遠程觸發的棧溢出漏洞。

　　OOB 寫入錯誤和堆溢出錯誤，都是由這樣一個相同的問題導致的：未正確處理系統調用的返回值。

　　該漏洞可以在下載整封電子郵件之前就觸發，即使你沒有將郵件內容下載到本地。

　　甚至不排除攻擊者在攻擊成功后刪除了郵件，做到悄無聲息。

　　對于iOS 13設備的用戶，無需點擊就能觸發，對于iOS 12的用戶，需要單擊這類郵件才能觸發，不過在郵件加載完成之前，攻擊就已經開始了。

　　如何補救？

　　其實，在今年的 2 月份，ZecOps 就向蘋果公司報告可疑漏洞。

　　3 月 31 日，ZecOps 確認了第二個漏洞存在于同一區域，并且有遠程觸發的能力。

　　4 月 15 日，蘋果公司發布了iOS13.4.5 beta 2 版，其中包含了針對這些漏洞的補丁程序，修復了這兩個漏洞。

　　如果沒有辦法下載安裝 beta 2 版的話，那就盡量別使用蘋果自帶的郵件 App了。

　　注意！后臺運行也不可以哦~一定要禁用這款原裝程序才行。

　　也是時候試試其他郵箱了。

　　比如微軟 Outlook、谷歌 Gmail、網易的郵箱大師……

　　歡迎列舉補充~

　　用戶反饋：已泄露的怎么辦？

　　驚天漏洞，自然也少不了我伙呆。

　　不過除此之外還有一些有意思的評論：

　　有乖巧學習型：

　　學到了，不使用系統 Mail 程序了。

　　有借勢推薦型：

　　不論如何，Gmail app>>mail app

　　有角度新奇型：

　　看到這個讓我想起了那些說 “Mac 不會得病毒 “的人?。▽嶋H上 Mac 確實沒中招，中招的是 iPhone）

　　還有擔心這事兒長尾影響的：

　　黑客刪掉一些沒用的，但可能還有一些副本，即便漏洞堵上了，一些之前的信息還是可能會泄露…

　　總之，搞不好就是哪位知名人物或驚天大瓜被曝光了。

　　潘多拉魔盒已經打開……

　　雖然這是被一直認為比安卓更安全的 iOS，比安卓更安全的 iPhone，但也不是鐵板一塊。

　　嗯，不說了，我要去禁用 iOS 郵件應用了。

　　如果你有 iPhone 和 iPad 的朋友，也別忘了告訴 TA~

　　參考：

　　https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

總結

以上是生活随笔為你收集整理的iPhone用户请注意：邮件App得禁用 刚曝光的安全漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。