立場新聞 Stand News

iPhone 爆電郵程式大漏洞 zero click 都中招? 咪驚住 ....

2020/4/26 — 10:40

資料圖片,來源:Adrianna Calvo @Pexels.com

資料圖片,來源:Adrianna Calvo @Pexels.com

憑一封電郵就可以騎劫你部 iPhone,即使你沒有 click 任何可疑的 link?聽落好恐怖,但這是本周一家網絡保安專家公布的發現,更指已有財富 500 大公司的員工、歐洲記者等人中招。講到事關重大,我當然要查究一下,發現漏洞是真的存在,但單單今次公布的問題,仍未足以攻陷你的手機,不過若你已被黑客高手盯上,確實要小心......

(本文主要是概括地介紹是次披露的漏洞,並分析其影響,具體技術運作及用語就不在這裡多講了,對黑客技術及今次漏洞詳情想深入了解的朋友,可以到這個連結看更詳盡的分析。)

專研究網上保安的公司 ZecOps,於本周透露了蘋果 iPhone 的內置電郵應用程式 Mail,存在兩個程式漏洞,其中一個在檢查錯誤系統,會導致該app處理電郵內容時,或啟動惡意程式,第二個漏洞最為陰險,因為即使用戶不對該可疑電郵進行任何動作,也可以被黑客入侵。

廣告

ZecOps 又指,一旦入侵成功,黑客便可以肆意洩露、篡改及刪除你的電郵,進而取得手機的控制權,可惡的地方是,用戶不容易察覺自己已成為獵物,因為黑客利用這弱點攻佔你手機時,你只會發現 Mail 程式有少少變慢,其他並無異樣,攻擊者在控制你的手機後,還會剷除涉及的惡意電郵,毁屍滅跡。

原來過去兩年,已有不少黑客懂得利用這弱點,去針對特定組織及機構的人士,中招者包括一家北美財富 500 大公司的人員、日本一家電訊公司的高管、沙地及以色列的網絡保安專家,以及歐洲一名記者,更有不止一個黑客商業組織收錢提供這種電郵攻擊「服務」。

廣告

漏洞於 IOS 6 已出現,存在整整八年,至 IOS 13.4.1 版本仍然存在,現時只有上周公布的 IOS 13.4.5,包含堵塞這兩個漏洞的修補程式。有傳媒引述蘋果表示,將很快發布新的 iOS 更新,堵塞這漏洞,又指漏洞不會對用戶構成直接威脅 。

消息一出,我收到不少朋友的查詢,憂心 iPhone 一向強調的私隱保障是否失守,但我與同事一輪研究過後,發現果真要遙距取得手機的全部控制權,只靠今次兩個漏洞其實並不足夠,攻擊者還需要再利用另一個涉及程式內核的缺點。

事實上,蘋果也不是省油燈,iOS 系統的保安一向嚴密,各個應用程式均會「自我隔離」,確保不會因為一個程式失守便令其他程式被暗渡陳倉,再者,iOS 在記憶體的管理上,還會有一個不斷搬龍門的機制,防止黑客鎖定程式運行時的位置進行攻擊。

今次的漏洞雖然少見,但要實行起來步驟繁複,涉及多個技術位,普羅市民一般不會招惹黑客高手專門招呼,故不用太慌張。要保障自己,我都會建議大家更新 iOS,或留意蘋果出的修補程式。如果好擔心自己的敏感資料被盜取,就要考慮停用 Mail 一段時間,轉用其他電郵程式了。

發表意見