苹果：iPhone 邮件漏洞不会对用户构成直接风险

4 月 24 日，苹果发布声明，驳斥了网络安全公司 ZecOps 有关 iOS 设备电邮应用存在漏洞的观点。后者认为，该软件漏洞可能已导致黑客入侵 iPhone 和其他 iOS 设备长达八年时间。

苹果在声明中称，公司已经彻底调查了研究人员的报告，根据提供的信息得到的结论是，这些问题不会对用户构成直接的风险。“研究人员在邮件中发现了三个问题，但仅仅是这些问题不足以绕过 iPhone 和 iPad 的安全保护，而且我们还没有发现有证据表明这些问题是针对客户使用的。这些潜在的问题将很快在软件更新中得到解决。我们重视与安全研究人员的合作，以帮助保护用户的安全，并将感谢研究人员的帮助。”

美国网络安全公司 ZecOps 的研究人员于当地时间周三宣布，他们在苹果 iPhone 和 iPad 的电子邮件应用程序中发现了两个可利用的漏洞。ZecOps 创始人兼 CEO 祖克·阿夫拉汗（Zuk Avraham）称，黑客可以通过专门制作的电子邮件利用这些漏洞。当用户通过 iPhone 或 iPad 打开邮件时，便会遭到攻击。

第一个漏洞允许黑客通过发送消耗大量内存的电子邮件来感染 iOS 设备，它本身并不会给用户带来太大风险，只允许攻击者泄露、修改或删除电子邮件。但它们在即便是最新版本的 iOS 中也依然有效，黑客利用邮件应用程序可以访问任何内容，包括机密消息。

第二个漏洞则利用苹果的 MobileMail 和 Mailid 进程来运行远程代码。与另一种内核攻击（如无法打补丁的 Checkm8 漏洞）相结合，这个漏洞可能会允许攻击者以超级用户身份访问特定目标设备。

研究人员说，这两个漏洞的变体甚至可以追溯到 2012 年发布的 iOS 6 身上，这意味着黑客已经利用它们对 iPhone 和 iPad 用户进行了长达 8 年的攻击。如果设备被感染，用户甚至不知道他们正在被黑客攻击。而且有证据表明，至少有 6 次网络安全入侵活动利用了这个漏洞。

针对 ZecOps 的报告，多位网络安全人士相信漏洞确实存在，但对能否通过该漏洞进行攻击持保留态度。网络安全分析师 Rcih Mogull 称，看起来确实有漏洞，但是能够通过该漏洞进行攻击的证据还比较弱。