iPhone의 위험한 취약점 : 바이러스 이메일을 열지 않아도 됨
보안 연구원은 Apple Mail 앱에서 공격자가 iPhone 및 iPad에 액세스 할 수있는 심각한 보안 결함을 발견했습니다. 연구원들에 따르면, 그 격차는 8 년 동안 존재했을 것입니다. 우리는 비디오의 공격으로부터 자신을 보호하는 방법을 보여줄 것입니다.
ZecOps의 미국 보안 연구원은 Apple Mail에서 제로 데이 익스플로잇을 공개했으며, 연구원 들은 iOS 6 및 iPhone 5의 출시일 인 2012 년 9 월 이후에 존재 했다고 밝혔다. 연구 결과에 따르면 iOS 6 이후의 모든 iOS 버전은 iOS 13.4.1을 포함한 취약점의 영향을받습니다. 이전 버전도 악용에 취약 할 수 있습니다. ZecOps는 지금까지 단순히 확인하지 않았습니다. 결과는 공격자가 2018 년 1 월 (iOS 11.2.2) 이후이 취약점을 적극적으로 악용하고 있음을 보여줍니다.
Apple Mail의 취약점으로 인해 의심의 여지가없는 사용자가 자신의 iPhone에서 악성 코드를 발견 할 수 있으므로 최악의 경우 공격자가 대상 장치를 제어 할 수 있습니다. 이것은 많은 메모리를 차지하고 장치에 "오버로드"하는 iOS 사용자에게 전자 메일을 보내서 말하면 가능합니다. 버그는 최종 장치를 완전히 제어하기에 충분하지 않습니다. 공격자는이를 위해 추가 단계를 수행해야합니다. 그러나 전자 메일을 변경, 삭제 및 게시 할 수 있습니다.
ZecOps에 따르면 iOS 13 사용자는 메일을 적극적으로 열 필요조차 없습니다. 메일 앱이 백그라운드에서 열려 있으면 충분합니다. 공격자가 이전에 피해자의 메일 서버에 대한 액세스 권한을 얻지 않은 경우 iOS 12에서는 악의적 인 이메일을 클릭 한 경우에만 악용이 트리거됩니다.
피해자는 대부분 공격을 인식하지 못합니다
피해자는 애플 메일의 속도 저하를 제외하고는 공격으로부터 아무것도 얻지 못했다. 특히 전자 메일을 열지 않고 iOS 13 시스템에서 공격이 발생하면 공격자가 해당 전자 메일을 삭제할 수 있기 때문에 악의적 인 전자 메일 자체를 보지 못하는 경우가 있습니다. 공격이 실패하면 사용자는 메시지에 내용이 없다는 메시지와 함께 메일 함에서 메일을 볼 수 있습니다 (위 그림 참조).
연구원에 따르면 애플은 iOS 베타 13.4.5의 격차를 좁혔다. Apple에서 여기 에서 다운로드 할 수 있습니다 . 기기에서이 베타 업데이트를 설치할 수없는 경우 Apple 에서 메일 용으로 제공 한 앱 이외 의 앱을 사용해야합니다 . 이 악용은 현재 공개되어 있고 Apple은 일반적인 iOS 버전 용 솔루션에서 작동 할 가능성이 높으므로 공격자는 닫기 전에 가능한 한 많이이 간격을 악용하려는 것으로 가정 할 수 있습니다.