4月23日消息，今天早些時候，舊金山的網絡安全公司ZecOps表示，他們在對客戶設備進行例行的數字取證時，發(fā)現了默認的iOS和iPadOS郵件應用中的兩個漏洞。經過進一步的調查，他們發(fā)現了有針對性的攻擊證據，他們在周三的一份報告中概述了這兩個漏洞。

這些漏洞允許攻擊者通過利用iOS 12和iOS 13中的MobileMail和Mailid進程，通過使用特別制作的郵件來運行遠程代碼。而且，如果觸發(fā)得當，用戶不會知道自己被黑客攻擊。研究人員表示，該漏洞的變體至少可以追溯到iOS 6。

蘋果公司發(fā)言人承認，iPhone和iPad上的電子郵件軟件(即Mail應用)存在漏洞，并表示該公司已經開發(fā)了一個修復程序，將在即將發(fā)布的軟件更新中推出。但該公司拒絕對阿夫拉哈姆周三發(fā)表的研究置評，這項研究表明該漏洞可被遠程觸發(fā)，而且已被黑客用來攻擊一些知名用戶。阿夫拉哈姆稱，他發(fā)現有證據表明，早在2018年1月就有一個惡意程序利用了這個iOS移動操作系統(tǒng)漏洞，但無法確定黑客的具體身份。

ZecOps表示，在上述案例中，黑客通過Mail應用向受害者發(fā)出一份空白電郵，導致后者的系統(tǒng)崩潰并重置，而系統(tǒng)崩潰令黑客得以竊取照片和聯系人信息等其他數據。

據悉，蘋果已經在最新的iOS 13.4.5測試版中修復了安全漏洞。iOS 13.4.5正式版應該會在未來幾周內公開發(fā)布。

使用Gmail或Outlook等第三方電子郵件App的用戶暫時不會被這些漏洞攻擊，建議用戶先使用這些第三方APP。