Очевидно откакто Apple пусна iOS 8.3 в началото на април, приложението Mail е спряло да премахва потенциално опасен HTML код от имейлите, които потребителите получават. Един таг инструктира приложението Mail да изтегли и изпълни код от разстояние. След това командата показва поле за формуляр, което имитира външния вид на поле за заявка за влизане в iCloud. Ако потребителят влезе, хакерът може да открадне потребителското име и паролата на неговия акаунт в iCloud. С тези две части информация хакерът може да открадне друга лична информация, съхранявана в iCloud.
Доказателство за концепцията: iOS 8.3 Mail.app атака
„Този бъг позволява да се зарежда отдалечено HTML съдържание, заменяйки съдържанието на оригиналното имейл съобщение“, Jansoucek написа. „JavaScript е деактивиран в този UIWebView, но все още е възможно да се създаде функционален „колектор“ на пароли, като се използва прост HTML и CSS [каскадни стилови таблици].“
Препоръчани видеоклипове
За да влоши нещата, уязвимостта поставя проследяваща бисквитка в приложението Mail, така че кодът да не изпълнява една и съща команда всеки път, когато заразеният имейл се отвори в приложението. По този начин потребителят няма да се усъмни в съобщението или да забележи връзката между този конкретен имейл и подканата за влизане в iCloud. Освен това хакерът може да промени кода по всяко време, за да получи достъп до различна информация.
За щастие има трик, който потребителите на iOS могат да използват, за да се защитят от хака. Въпреки че злонамереният код прави доста добра имитация на полето за вход в iCloud, той не е перфектен. Първо, кутията иска както вашия Apple ID, така и вашата парола, докато iCloud обикновено иска само вашата парола и вече показва вашето потребителско име. Второ, кутията не е модална, така че фонът не избледнява и екранът не е статичен, когато се появи подканата. Освен това предложенията за клавиатура остават активирани, което никога не се случва, когато получите подкана от iCloud на iOS.
Разбира се, тези разлики са фини и мнозина няма да ги забележат. Apple все още не е отговорила, но се надяваме, че корекцията ще дойде скоро. Дотогава следващия път, когато видите заявка за влизане в iCloud, проверете за тези издайнически знаци, за да сте сигурни, че не сте хакнати.
Препоръки на редакторите
- Най-страхотната нова функция на iOS 17 е ужасна новина за потребителите на Android
- Apple добавя чисто ново приложение към вашия iPhone с iOS 17
- iOS 16.5 носи две вълнуващи нови функции на вашия iPhone
- Режим на заключване на iPhone: как да използвате защитната функция (и защо трябва)
- Вашият iPhone има тайна функция, която помага на околната среда — ето как работи
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
