Úgy tűnik, mióta az Apple április elején kiadta az iOS 8.3-at, a Mail alkalmazás nem távolítja el a potenciálisan veszélyes HTML-kódot a felhasználók által kapott e-mailekből. Az egyik címke arra utasítja a Mail alkalmazást, hogy töltse le és futtassa le a kódot távolról. A parancs ezután előhív egy űrlapmezőt, amely az iCloud bejelentkezési kérelmezőjének megjelenését utánozza. Ha a felhasználó bejelentkezik, a hacker ellophatja az iCloud-fiókjához tartozó felhasználónevét és jelszavát. Ezzel a két információval a hacker más, az iCloudban tárolt személyes adatokat is ellophat.
A koncepció bizonyítéka: iOS 8.3 Mail.app támadás
"Ez a hiba lehetővé teszi távoli HTML-tartalom betöltését, helyettesítve az eredeti e-mail üzenet tartalmát" - mondta Jansoucek írt. „A JavaScript le van tiltva ebben az UIWebView-ban, de továbbra is lehetséges funkcionális jelszógyűjtőt létrehozni egyszerű HTML és CSS [lépcsőzetes stíluslapok] használatával.”
Ajánlott videók
Tovább rontja a helyzetet, hogy a biztonsági rés nyomkövető cookie-t helyez el a Mail alkalmazásban, így a kód nem hajtja végre ugyanazt a parancsot minden alkalommal, amikor a fertőzött e-mailt megnyitják az alkalmazásban. Ily módon a felhasználónak nem fog gyanakodni az üzenet, és nem veszi észre a kapcsolatot az adott e-mail és az iCloud bejelentkezési parancs között. Ezenkívül a hacker bármikor megváltoztathatja a kódot, hogy különböző információkhoz férhessen hozzá.
Szerencsére van egy trükk, amelyet az iOS-felhasználók alkalmazhatnak, hogy megvédjék magukat a feltöréstől. Bár a rosszindulatú kód elég jól utánozza az iCloud bejelentkezési mezőjét, nem tökéletes. Először is, a doboz az Apple ID azonosítóját és a jelszavát is kéri, míg az iCloud általában csak a jelszavát kéri, és már megjeleníti a felhasználónevét. Másodszor, a doboz nem modális, így a háttér nem fakul el, és a képernyő nem statikus, amikor megjelenik a felszólítás. Ezenkívül a billentyűzetjavaslatok továbbra is aktívak maradnak, ami soha nem történik meg, amikor iOS rendszeren iCloud-kérést kap.
Természetesen ezek a különbségek finomak, és sokan nem veszik észre őket. Az Apple még nem válaszolt, de remélhetőleg hamarosan megérkezik a javítás. Addig is, amikor legközelebb iCloud bejelentkezési kérelmet lát, ellenőrizze, hogy vannak-e ezek az árulkodó jelek, hogy megbizonyosodjon arról, hogy Önt nem törik fel.
Szerkesztői ajánlások
- Az iOS 17 legmenőbb új funkciója szörnyű hír az Android-felhasználók számára
- Az Apple egy vadonatúj alkalmazást ad az iOS 17 rendszerű iPhone-jához
- Az iOS 16.5 két izgalmas új funkciót hoz iPhone-jára
- iPhone Lockdown Mode: hogyan kell használni a biztonsági funkciót (és miért kell)
- Az iPhone-nak van egy titkos funkciója, amely segíti a környezet védelmét – ez így működik
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
