阿里研究揭露macOS/iOS邮件崩溃漏洞
阿里研究揭示macOS/iOS关键邮件漏洞
阿里安全与印第安纳大学伯明顿分校的突破性研究发现,恶意邮件可利用严重安全缺陷导致macOS和iOS系统瞬间崩溃。该漏洞源于畸形的X.509证书——这些证书是互联网安全协议的基础组件。
香蕉邮件攻击向量
研究团队发现,攻击者通过发送含有损坏X.509证书的特制邮件,可利用加密库漏洞实施攻击。这种被称作"香蕉邮件"攻击的方式会在证书处理过程中耗尽系统资源,导致系统完全无响应。
对加密库的广泛影响
研究人员测试了六大主流开源加密库,包括:
- OpenSSL
- Bouncy Castle
- 其他主流实现方案
调查不仅确认了12个已知安全隐患,还新发现了18个漏洞。这些漏洞存在于现代操作系统用于应用验证和安全通信的证书解析机制中。
系统性后果
该漏洞影响尤为严重的原因在于:
- 现代操作系统依赖这些库执行基础安全操作
- 成功攻击可使所有依赖证书验证的应用瘫痪
- 用户将遭遇需强制重启的系统完全死锁
检测与缓解工具
研究团队开发的X.509DoSTool自动化解决方案能够:
- 生成畸形证书测试用例
- 识别拒绝服务漏洞
- 为开发者提供缓解策略
该工具标志着加密实现方案主动安全测试的重大进步。
学术认可与行业影响
此项发现在享有盛誉的USENIX Security'25会议上发表,并获被称为"黑客界奥斯卡"的奖项提名。该认可凸显了本研究对推动网络安全知识发展的重要性。
研究揭示出即便是X.509证书处理这类基础安全组件,在存在实现缺陷时也可能成为攻击载体。
核心要点:
- 含损坏证书的恶意邮件可立即崩溃苹果设备
- 跨多个加密库新发现18个漏洞
- 攻击利用邮件处理时的证书解析过程
- X.509DoSTool有助于检测预防此类漏洞
- 研究强调需要强化证书验证实现方案
