IOS sigurnosni propust koristi aplikaciju Mail za krađu prijave na iCloud

iPhone icloud
Shuttershock
Appleov mobilni operativni sustav iOS ima reputaciju sigurnijeg od Androida, ali u posljednje vrijeme čini se da sve više hakera napada korisnike iPhonea i iPada. A GitHub korisnik po imenu Jansouceket otkrio je još jednu ranjivost iOS-a u siječnju i prijavio je Appleu. Ljubazni haker demonstrirao je kako se napadni kod može koristiti u aplikaciji Mail za krađu korisničkih prijava na iCloud i drugih osjetljivih informacija.

Očigledno, otkako je Apple objavio iOS 8.3 početkom travnja, aplikacija Mail prestala je uklanjati potencijalno opasni HTML kod iz e-poruka koje korisnici primaju. Jedna oznaka upućuje aplikaciju Mail da preuzme i izvrši kod na daljinu. Naredba zatim otvara okvir obrasca koji oponaša izgled okvira zahtjeva za prijavu u iCloud. Ako se korisnik prijavi, haker može ukrasti njegovo korisničko ime i lozinku za iCloud račun. S ove dvije informacije, haker može ukrasti druge osobne podatke pohranjene u iCloudu.

Dokaz koncepta: napad iOS 8.3 Mail.app

"Ovaj bug omogućuje učitavanje udaljenog HTML sadržaja, zamjenjujući sadržaj izvorne poruke e-pošte", Jansoucek

napisao. "JavaScript je onemogućen u ovom UIWebViewu, ali je još uvijek moguće izgraditi funkcionalni 'sakupljač' zaporki pomoću jednostavnog HTML-a i CSS-a [kaskadne tablice stilova]."

Preporučeni videozapisi

Da stvar bude gora, ranjivost postavlja kolačić za praćenje u aplikaciju Mail, tako da kôd ne izvršava istu naredbu svaki put kada se zaražena e-pošta otvori u aplikaciji. Na taj način korisniku neće posumnjati u poruku niti primijetiti vezu između te određene e-pošte i upita za prijavu na iCloud. Osim toga, haker može promijeniti kod u bilo kojem trenutku kako bi pristupio različitim informacijama.

Srećom, postoji trik koji korisnici iOS-a mogu upotrijebiti kako bi se zaštitili od hakiranja. Iako zlonamjerni kod prilično dobro oponaša okvir za prijavu na iCloud, nije savršen. Prvo, okvir traži i vaš Apple ID i lozinku, dok iCloud obično traži samo vašu lozinku i već prikazuje vaše korisničko ime. Drugo, okvir nije modalan, tako da pozadina ne blijedi i zaslon nije statičan kada se pojavi upit. Osim toga, prijedlozi tipkovnice ostaju aktivirani, što se nikada ne događa kada primite iCloud upit na iOS-u.

Naravno, te su razlike suptilne i mnogi ih neće primijetiti. Apple još nije odgovorio, ali nadamo se da će zakrpa uskoro stići. Do tada, sljedeći put kad vidite zahtjev za prijavu na iCloud, provjerite postoje li ovi izdajnički znakovi kako biste bili sigurni da niste hakirani.

Preporuke urednika

  • Najbolja nova značajka iOS-a 17 je užasna vijest za korisnike Androida
  • Apple dodaje potpuno novu aplikaciju na vaš iPhone s iOS-om 17
  • iOS 16.5 donosi dvije uzbudljive nove značajke na vaš iPhone
  • Način zaključavanja iPhonea: kako koristiti sigurnosnu značajku (i zašto biste trebali)
  • Vaš iPhone ima tajnu značajku koja pomaže okolišu — evo kako funkcionira

Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.