iPhone5亿漏洞：虽无影响，但仍需注意

作者/来源：小睿发布时间：2020-04-24

一般而言，由于iPhone设备的不越狱性，致使苹果设备比安卓设备更安全，因而iPhone设备备受用户欢迎。但近日，一个网络安全公司表示iPhone/iPad邮件应用中存在漏洞，并且该漏洞可能已被黑客暗中利用8年，涉及5亿苹果手机用户正面临易受黑客攻击的风险。

iPhone

该漏洞是在在去年年，通过对客户受到的复杂网络攻击进行调查时发现的，并且至少有6次网络安全入侵活动利用了这个漏洞。

对此，苹果公司回应称，iPhone/iPad邮件应用中确实存在漏洞，但尚未发现黑客利用邮件应用漏洞对iPhone/iPad进行网络攻击。

因此，目前来看该漏洞不会对用户造成影响，这是因为黑客还无法利用它们绕过iPhone/iPad内部的安全机制。此外，截至目前也没有发现有实质用户遭受攻击的证据。

当心空白邮件

攻击者利用邮件应用漏洞利用可以通过发送空白电子邮件的方式，导致iPhone、iPad的邮箱应用闪退并重启，从而使得黑客可以强制在目标手机上执行任意代码，这就为攻击者窃取设备上的数据打开方便之门，比如盗取用户照片和获取联系方式等。

即使运行着最新的 iOS 版本，该漏洞仍然允许攻击者远程窃取 iPhone 数据。只要是邮件应用可以访问的，漏洞均能访问，包括设备中的机密信息。

对此苹果公司回应表示，对于该漏洞的修复正在计划开发修复程序，并将很快准备发布一个安全更新。此外，据悉在iOS 13.4.5测试版中，已经修复上述BUG，正式版会在未来几周内公开。

漏洞介绍

iPhone/iPad设备中存在的漏洞属于零日漏洞，并且这两个零日漏洞位于苹果邮件应用程序使用的 MIME 库中。一个漏洞会造成越界读写错误，另一个漏洞会触发堆溢出错误。并且，这两个漏洞都是在野外触发的。

相比第一个漏洞，第二个漏洞危害更大。因为后者可以实现零点击利用，无需用户与苹果邮箱应用交互。一旦用户收到邮件或打开苹果 Mail App，攻击即被触发。漏洞允许在 iOS 12 或 iOS 13 中执行远程代码，对漏洞的成功利用将允许攻击者泄露、修改和删除受害者设备中的邮件。

具体而言，在 iOS 12 系统中，用户需要先点击电子邮件才能触发该漏洞，但是如果攻击者控制了邮件服务器，则无需点击邮件就能实现攻击；在 iOS 13 系统上，一旦在后台打开苹果 Mail 应用程序，就能实现零点击攻击。

建议

iOS用户需要防范这种攻击。由于漏洞对 Gmail 或其他邮件客户端没有任何影响，因此建议用户不要使用内置邮件应用，可以使用其他邮箱应用，比如 Gmail、Outlook、QQ 邮箱、Foxmail 和网易邮箱等。此外，一旦iOS 13.4.5立即可用，用户最好立刻下载安装最新系统。