미국의 보안 업체인 ZecOps가 iOS에 기본 탑재된 메일 기능에 심각한 취약점이 존재한다고 발표했습니다. 사용자가 클릭하지 않아도 원격으로 코드가 실행되며, 제로 데이 공격에 사용된 흔적이 있다고 합니다.
특수하게 조작한 이메일을 전송, iOS 12의 iOS MobileMail 앱과 iOS Mailid 컨텍스트에서 취약점을 트리거하도록 합니다. iOS 6 이상의 모든 iOS에 취약점이 있습니다. 최신 버전인 iOS 13.4.1도 예외는 아닙니다.
iOS의 MIME 라이브러리인 MFMutableData의 함수 [MFMutableData appendBytes : length :]의 구현 방법에 문제가 있어, 시스템 콜 ftruncate ()의 오류 검사가 잘못되면서 범위를 벗어난 쓰기 조작이 가능하다고 합니다.
iOS 12에서 이를 악용하면 메일 앱의 속도가 일시적으로 떨어지며, 성공 여부와 충돌이 일어나기도 합니다. 다행이도 iOS 13.4.5 베타에서는 이 취약점이 수정됩니다.
메인폰 iOS 12인데 메일앱 지워놔야겠네요.