果粉當心!神秘文字流竄iOS系統 恐導致當機或觸控失靈
網路上最近流傳一串詭異文字,若iPhone、iPad收到這組神祕文字,會導致系統當機或觸控失靈,必須重新啟動才能恢復正常。蘋果官方已經獲知此事,正在測試系統修復更新檔,暫時還沒有解決之道,果迷要多加小心。
包括《9to5mac》在內的多個國外科技網站報導,這組「文字病毒」疑似是從通訊軟體Telegram群組中流出,由義大利國旗符號及南亞巴基斯坦的「信德語(Sindhi)」所組成,當iPhone、iPad等蘋果產品收到這串訊息時,會因為iOS系統內沒有信德語字元,導致系統癱瘓引發當機,必須強制重新開機才能使用。
根據維基百科資料,信德語(Sindhi)是南亞信德族的語言,多以印度天城體或擴充阿拉伯文字體書寫。主要使用地區為巴基斯坦的信德省,整個巴基斯坦境內大約有1700萬人會說此語言,在印度也有280萬人使用。
外媒指出,這組文字目前在各大社群與通訊APP上瘋傳,因為許多人好奇這組文字的威力而不斷轉發,導致其他用戶跟著受害,還有人宣稱這是「iOS史上最瘋狂的bug」,建議用戶在蘋果發布更新前暫時關閉所有推播通知,以免不小心讀取到這組詭異文字。蘋果官方也正在盡力修補這項漏洞,但仍需經過一段時間的測試,才能發布正式更新版。
蘋果:新iOS漏洞未造成立即風險
上周以色列安全廠商ZecOps公告,iOS版Mail軟體有2個零時差攻擊漏洞,可能導致iPhone用戶接到電子郵件就被駭,而且從iOS 6到最新的iOS 13都受影響。蘋果隔天證實安全廠商講的漏洞確實存在,不過對用戶並沒有立即風險。
根據這家安全廠商的研究,新發現的漏洞包括頻外寫入(OOB Write)、遠端堆積緩衝溢位(Remote Heap Overflow)漏洞,以及一個核心漏洞,讓攻擊者只要傳送有惡意附檔的郵件給用戶就能觸發,甚至用戶即使沒有開啟附檔,也會被駭,造成攻擊者遠端執行惡意程式碼,以竊取、編輯或刪除電子郵件。研究人員還宣稱,攻擊者可以遠端刪除郵件來隱匿行動。他們認為有可能是國家資助的駭客組織,策畫了這次行動。
第一時間沒有回應的蘋果,周五發出聲明稿反駁漏洞的說法。蘋果表示向來重視所有安全威脅的報告,而在詳細檢視ZecOps的研究後,他們認為漏洞並不會對用戶帶來立即風險。理由是,研究人員指出Mail的3個漏洞,個別都不足以繞過iPhone及iPad的安全防護,而且蘋果也沒有發現有用戶被攻擊的證據。
事實上,也有其他研究人員對ZecOps研究抱持懷疑。包括Google Project Zero及其他研究人員認為,該研究主要是根據414141、4141的crash code來判定有惡意郵件,證據太薄弱,而且該郵件最終並沒有找到,卻又被解釋為駭客將之刪除。
批評者認為,如果像ZecOps所言是國家級的駭客,則這些破綻百出的攻擊也太小兒科了,且iOS的漏洞可能也僅為被某些郵件觸發的小漏洞。但是ZecOps人員指出,還發現其他證據,而他們也會再補強說明。
不管這批漏洞是否像ZecPops講的那麼嚴重,蘋果說三項漏洞將很快會透過軟體更新修補。蘋果已在已在4月15日釋出iOS 13.4.5 Beta 2,正式更新預料很快就會釋出。