本周有报道称，攻击者一直在利用未修补的iOS漏洞控制iphone，苹果公司对该报道的准确性提出质疑。

 

总部位于旧金山的安全公司ZecOps周三表示，在至少两年的时间里，攻击者利用零日漏洞攻击了至少六个目标。在这份目前备受争议的报告中，ZecOps曾表示，邮件应用程序存在严重缺陷，如果用户发送经过特殊处理的电子邮件，就会触发该缺陷，而这些邮件不需要用户进行任何交互。

 

苹果当时拒绝就该报道置评。然而，在周四晚上晚些时候，苹果公司对ZecOps的调查结果进行了反驳。ZecOps的调查结果是:第一，这个漏洞对iPhone和iPad用户构成了威胁;在一份声明中，官员们写道:

 

苹果严肃对待所有关于安全威胁的报告。我们已经彻底调查了研究人员的报告，并根据所提供的信息得出结论，沐鸣开户测速这些问题不会对我们的用户构成直接的风险。研究人员在邮件中发现了三个问题，但仅仅这些问题不足以绕过iPhone和iPad的安全保护，我们也没有发现任何证据表明它们被用来对付客户。这些潜在的问题将在不久的软件更新中得到解决。我们重视与安全研究人员的合作，以帮助确保用户的安全，并将感谢研究人员的帮助。

 

相当多的独立研究人员也对ZecOps的结论提出了质疑。总的来说，批评者认为ZecOps的发现所依据的证据并不具有说服力。这些有争议的发现是基于恶意邮件被删除的证据，可能是为了隐藏攻击，但日志中保留的数据表明，删除和崩溃是一个漏洞造成的。

 

批评人士说，如果这个漏洞能够删除电子邮件，它也就能够删除崩溃日志数据。批评人士表示，ZecOps报告中的故障和一些技术细节强烈表明，这个漏洞是一个更为良性的漏洞，是由某些类型的电子邮件引发的。批评者说，还有一点值得怀疑的是，一个先进的漏洞是否会导致系统崩溃。自那以后，这些疑虑一直存在。

 

Atredis Partners负责研发的副总裁、软件开发专家HD Moore上周五告诉我:

 

看起来ZecOps找到了一份崩溃报告，找到了一种重现崩溃的方法，并且根据间接证据推测这是出于恶意目的。听起来好像是在他向苹果公司报告之后，苹果公司进行了调查，发现这些只是崩溃bug，这就关闭了这扇门，实际上是在利用新的iOS零日。

 

可能是苹果错了，但考虑到他们对这些东西的敏感性，他们可能在调查这件事上做得还不错。通过小道消息，我听说苹果公司负责此次调查的内部安全团队对此很生气，因为ZecOps在他们有机会审查之前就直接去了新闻界。

 

其他批评人士也在Twitter上发表了自己的看法。

 

研究人员Rich Mogul写道:“看起来你有一个真正的vuln，但利用的证据看起来很薄弱……你的帖子中没有关于利用后链接导致信息披露或代码执行的信息。”“有什么更新可以分享的吗?”相当大的索赔无点击邮件0天正在使用。”

 

丰富Mogull

 

@rmogull

 

看起来你有一个真正的vuln，沐鸣开户测速但利用的证据看起来很弱…没有信息在你的帖子后利用链接导致信息披露或代码执行。有什么更新可以分享吗?相当大的索赔无点击邮件0天正在使用。

 

ZecOps

 

@ZecOps