苹果:iOS 原生邮件 app 的漏洞不会对用户构成「直接风险」

他们认为「没有证据」证明漏洞曾被利用来攻击用户。

Sanji Feng
Sanji Feng
2020年04月24日, 晚上 09:24
İstanbul, Turkey - December 13, 2013: Close up shot of the applications of iPhone 5 screen. The iPhone 5 is a touchscreen smartphone developed by Apple Inc.
对于昨天被安全研究中心爆出的 iOS 原生邮件应用漏洞,苹果显然是想好了要低调处理。在发给分析师 Rene Ritchie 的一份声明中,苹果表示 ZecOps 发现的漏洞本身「并不足以绕过 iPhone 和 iPad 的安全保护机制」 ,并称「目前没有证据能证明漏洞曾被利用来攻击用户」。同时他们还强调该漏洞「不会对使用者构成直接威胁」,而且承诺「很快会通过软件更新来解决潜在的问题」。

根据 ZecOps 之前的说法,iOS 原生邮件 app 的这个漏洞能让骇客在毋须诱使用户做出任何输入动作的前提下,入侵目标设备且不会出现异状。虽然这种攻击在相关邮件被删后就不会留下痕迹,因而很难举证,但 ZecOps 仍相信该漏洞已被骇客利用了至少两年。期间有包括日本电讯公司职员、大型北美企业等在内的六个不同目标据称都受到过攻击,而这种主张显然跟苹果的声明相悖。

在苹果回应后,ZecOps 仍坚称自己曾发现过基于该漏洞的攻击实例。他们亦表示在苹果推送了相关更新后,便会「公布更多信息并进行概念验证」。而根据 Jamf 安全员的说法,这些证据「很有说服力」但缺乏一定的权威性。不过无论如何,虽然苹果嘴上是在淡化漏洞的风险,但也确实有了将其补上的行动。对于普通使用者来说,这可能才是更加重要的吧。
标签: Apple, gear, hacking, mail, news, security, update, vulnerability, ZecOps