近日，安全研究人員發(fā)現(xiàn)iPhone和iPad自帶的默認(rèn)郵件應(yīng)用程序MobileMail 和Maild存在兩個(gè)正在被在野利用的嚴(yán)重漏洞，而且至少在兩年前就已經(jīng)開始監(jiān)視用戶了。

這兩個(gè)漏洞允許遠(yuǎn)程攻擊者秘密獲取蘋果設(shè)備的控制權(quán)，只要向已經(jīng)登錄郵件賬號(hào)的用戶設(shè)備發(fā)送電子郵件即可。這可能會(huì)使超過5億部iPhone容易受到黑客的攻擊。同時(shí)，iPad也存在這一問題。

舊金山的一家手機(jī)安全取證公司ZecOps在周三發(fā)布的一份報(bào)告中表示，在2019年末調(diào)查一起客戶網(wǎng)絡(luò)攻擊事件時(shí)，發(fā)現(xiàn)了該問題。ZecOps創(chuàng)始人Zuk Avraham表示，他發(fā)現(xiàn)證據(jù)顯示，這一漏洞至少在六起網(wǎng)絡(luò)入侵事件中被利用。

Zuk推特聲明

該漏洞是存在于蘋果自帶郵件應(yīng)用程序中的MIME庫(kù)中的遠(yuǎn)程代碼執(zhí)行漏洞，首先是因?yàn)樵浇鐚懭脲e(cuò)誤，其次是堆溢出問題。

盡管兩個(gè)電子郵件都是在處理郵件時(shí)觸發(fā)的，但是第二個(gè)漏洞更為嚴(yán)重一些，因?yàn)槠淇梢詫?shí)現(xiàn)“零點(diǎn)擊”利用，無需任何用戶交互。

• iOS 13上的漏洞觸發(fā)：在后臺(tái)打開Mail應(yīng)用程序時(shí)，iOS 13上的無輔助(零點(diǎn)擊)攻擊
• iOS 12上的漏洞觸發(fā)：攻擊需要單擊電子郵件，攻擊將在呈現(xiàn)內(nèi)容之前觸發(fā)，用戶不會(huì)在電子郵件本身中發(fā)現(xiàn)任何異常

如果攻擊者控制郵件服務(wù)器，則可以觸發(fā)(即零點(diǎn)擊)iOS 12上的無輔助攻擊。

報(bào)告中還提及疑似遭受攻擊的目標(biāo)：

• 來自北美財(cái)富500強(qiáng)企業(yè)的員工;
• 日本某航空公司的高管 ;
• 來自德國(guó)的貴賓;
• 來自沙特阿拉伯和以色列的MSSP;
• 歐洲記者;
• 懷疑：一家瑞士企業(yè)的高管。

八年零日漏洞在野利用

據(jù)研究員表明，兩個(gè)漏洞存在iPhone 和iPad多個(gè)版本中長(zhǎng)達(dá)8年，可以追溯到iOS6，甚至影響了當(dāng)前的iOS 13.4.1，常規(guī)版本尚且沒有補(bǔ)丁更新。

更讓人擔(dān)憂的是，多個(gè)攻擊者組織長(zhǎng)期利用這些漏洞(至少在野零日攻擊中利用了2年最早可追溯到2018年1月)。

研究人員說：“目前公布的攻擊數(shù)據(jù)有限，但是至少有6個(gè)組織或者個(gè)體遭受攻擊，影響力還是很大的。盡管ZecOps沒有發(fā)現(xiàn)攻擊的幕后黑手，但是我們了解到至少有一個(gè)“雇傭組織”在銷售該漏洞利用，并將電子郵件地址作為唯一標(biāo)識(shí)符。

此外，對(duì)于蘋果用戶本身來說是很難意識(shí)到黑客的入侵的，因?yàn)樗麄冊(cè)讷@取用戶遠(yuǎn)程操控之后，可以立即刪除惡意電子郵件。

盡管數(shù)據(jù)表示是用戶的iOS設(shè)備接收和處理電子郵件的，但是本應(yīng)存儲(chǔ)在郵件服務(wù)器上的郵件卻消失了，因此可以推斷故意刪除是攻擊手段的一部分。

除了郵件使用速度的短暫下降以外，用戶沒法發(fā)現(xiàn)任何的異常行為。成功的漏洞利用是讓黑客在MobileMail 或者M(jìn)aild 應(yīng)用程序中執(zhí)行惡意代碼，并竊取、修改或者刪除郵件。

然而，想要完全操控設(shè)備，黑客還需要一個(gè)助手，即單獨(dú)的內(nèi)核漏洞(比如無法修補(bǔ)的Checkm8漏洞)。盡管目前研究人員還沒有發(fā)現(xiàn)黑客使用的惡意軟件細(xì)節(jié)，但是郵件的漏洞和內(nèi)核漏洞結(jié)合使用來監(jiān)控他們的目標(biāo)用戶也不是沒有可能。

當(dāng)心!目前尚無可用補(bǔ)丁

研究人員在兩個(gè)月前發(fā)現(xiàn)這次的在野利用攻擊，并將其報(bào)告給蘋果安全團(tuán)隊(duì)。

截至發(fā)文，只有iOS13.4.5 beta版本在上周發(fā)布，包含了這兩個(gè)漏洞的安全補(bǔ)丁。

而數(shù)百外的iPhone 和iPad用戶還需等待下一次的軟件安全補(bǔ)丁更新。與此同時(shí)，強(qiáng)烈建議蘋果用戶不要使用設(shè)備內(nèi)置的郵件應(yīng)用程序。

披露時(shí)間表

• 2020年2月19日，根據(jù)ZecOps負(fù)責(zé)任的披露政策，向供應(yīng)商報(bào)告了可疑事件，該事件允許立即發(fā)布在野觸發(fā)因素;
• 受影響的供應(yīng)商與ZecOps之間的持續(xù)進(jìn)行攻擊;
• 3月23日，ZecOps向受影響的供應(yīng)商發(fā)送了OOB Write漏洞的POC復(fù)制信息;
• 3月25日，ZecOps共享了OOB Write的本地POC;
• 3月31日，ZecOps確認(rèn)同一地區(qū)存在第二個(gè)漏洞，并且具有遠(yuǎn)程觸發(fā)功能(遠(yuǎn)程堆溢出)，這兩個(gè)漏洞都是在野外觸發(fā)的;
• 3月31日，ZecOps與受影響的供應(yīng)商共享了POC，以解決遠(yuǎn)程堆溢出漏洞;
• 4月7日，ZecOps共享了一個(gè)自定義郵件服務(wù)器，只需在Mail中添加用戶名和密碼并下載電子郵件，即可輕松觸發(fā)iOS 13.4 / 13.4.1上的0單擊堆溢出漏洞;
• 4月15日至16日，供應(yīng)商在公開測(cè)試版中修補(bǔ)了這兩個(gè)漏洞;
• 4月20日，研究人員重新分析了歷史數(shù)據(jù)，發(fā)現(xiàn)了VIP和目標(biāo)人物在野外觸發(fā)的其他證據(jù)，并發(fā)送了一封電子郵件，通知供應(yīng)商，我們將必須立即發(fā)布此威脅通報(bào)，這樣企業(yè)可以自我保護(hù)，因?yàn)楣粽?因?yàn)橐言贐eta中進(jìn)行了修補(bǔ))很可能會(huì)越來越活躍;
• 4月22日，公開披露。