苹果邮件App惊爆漏洞 估5亿用户暴露于危险之中

资安公司发现 iOS 的严重漏洞，骇客可经由「邮件」App攻击用户设备，且使用者甚至不需要有任何行动，你的设备就可能被攻陷，让私人重要资料被窃。图为 iOS 13 示意图。(黄慧雯摄)

你经常使用 iPhone、iPad 内建的「邮件」(Mail)App 来阅读、撰写电子邮件吗？要注意啰。旧金山资讯安全公司 ZecOps 发现了存在于苹果(Apple Inc.) iOS 当中的严重漏洞，可让骇客透过远端攻击使用者的 iPhone 或是 iPad，而且其中一个漏洞甚至不需要使用者有任何行动(zero-click exploit)就能触发，预估可能让多达 5 亿的 iPhone、iPad 暴露在容易遭受骇客攻击的危险之中。

根据 ZecOps 的研究，他们发现了在苹果 iOS 系统中、存在于邮件 App 中的严重漏洞，其中有 2 个甚至影响最新版本的 iOS(iOS 13)，且研究发现这个严重漏洞存在已久，至少在 iOS 6(与iPhone 5一同发表)就已经存在。对此，苹果发言人证实，iPhone 和 iPad 的电子邮件(Mail App)存在漏洞，而苹果已经开发了修复程式即将正式释出。苹果拒绝对于 ZecOps 的发现予以评论。

据了解，ZecOps 所发现存在苹果 iOS 中「邮件」App 的漏洞，骇客可借此向目标发出一封空白邮件，就可以让受害者的设备当机、重新启动，而当机的情况可让骇客借此窃取到联络人资讯还有照片等私人资料。ZecOps CEO Zuk Avraham 指出，他们是在 2019 年调查客户受到复杂网路攻击的事件中发现这个漏洞，并且认为有证据指出至少有 6 次的网路入侵，骇客都是利用了这个漏洞。根据研究结果，骇客锁定的攻击目标包含北美地区的《财富》全球500强企业、日本航空公司高阶主管、一位德国的 VIP，还有一位欧洲地区的记者等。

所幸，苹果已经在 iOS 13.4.5 当中修复了上述漏洞。苹果 iOS 以及 iPadOS 最新的正式版本都是 iOS 13.4.1，。而 iOS 13.4.5 在近日则是释出了 beta 2(第二个测试版)，距离正式推出已经不远。而在系统存在漏洞的情况被曝光后，或许苹果有可能加速 iOS 13.4.5 的研发进程，尽速推出正式版供使用者下载更新。

ZecOps 方面指出，这项漏洞仅有使用苹果内建的「邮件」App才会受到攻击，第三方邮件 App 例如 Gmail、Outlook App 不会受到此漏洞影响，但是透过内建「邮件」App 开启 Gmail 邮件的方式会不会受到此漏洞影响，他们则还没有具体定论。在苹果释出 iOS 13.4.5 正式版之前，ZecOps 建议 iPhone、iPad 的使用者们可以暂时透过第三方邮件 App 来收发电子邮件。