苹果回应“危及5亿用户的漏洞”：没有证据显示

网络安全公司称，如果利用苹果邮件系统的两个漏洞，攻击者可以远程访问、修改或删除用户电子邮件。苹果回应称，邮件问题本身不足以让网络攻击者绕过其内置的安全措施，并补充说其将很快发布修复程序。

讯 4月24日，据外媒报道，对于网络安全研究人员声称在iPhone和iPad邮件应用程序中发现两大零日漏洞，并可能危及全球5亿用户设备安全的问题，苹果公司做出回应，称没有发现黑客利用漏洞发动攻击的证据。

美国当地时间周三，网络安全公司ZecOps的安全人员表示，他们发现了两个以前不为人知的邮件漏洞。如果利用这两个漏洞，攻击者可以远程访问、修改或删除用户电子邮件。苹果为此启动了一项调查，并在声明中表示，邮件问题本身不足以让网络攻击者绕过其内置的安全措施，并补充说其将很快发布修复程序。

苹果称“我们已经彻底调查了研究人员的报告，根据他们提供的信息，我们得出结论，这些问题不会对我们的用户构成直接风险。研究人员发现了Mail中的三个问题，但它们不足以绕过iPhone和iPad的安全保护，我们也没有发现任何证据表明它们被用来袭击客户。”

苹果继续表示，该公司非常重视独立安全研究人员的发现，他们帮助确保iOS的安全，并将在未来依然依赖这些人发现漏洞。苹果通常会随每个软件版本发布安全更新，以详细说明修补的漏洞，并公布发现这些漏洞的安全研究人员或研究小组的身份。

正如ZecOps详细描述的那样，黑客可以通过发送精心构建的电子邮件来利用iOS漏洞进行攻击，从而使他们能够运行远程代码。虽然在iOS 12中，攻击需要用户单击恶意电子邮件，但在iOS 13中，当Mail在后台打开时，攻击会变成零点击或无协助的媒介。

ZecOps表示，这些漏洞自iOS 6以来就存在，它们是作为有针对性的攻击的一部分触发的。该公司在报告中说，被攻击的目标可能包括北美财富500强公司的员工、日本航空公司的高管以及一名欧洲记者。

ZecOps首席执行官祖克阿夫拉哈姆(Zuk Avraham)称，他发现了至少6次利用该漏洞发动网络入侵的证据。他表示，他早在2018年1月就发现了攻击者利用该漏洞的证据，但他无法确定黑客是谁。

这些漏洞是在苹果发布测试版更新时公开披露的，ZecOps预测，攻击者“很可能会利用这段时间，在补丁发布前攻击尽可能多的设备”。不过，ZecOps已经证实，苹果最新的iOS 13.4.5测试版修补了报告中的漏洞。（审校/金鹿）