どうやら、Apple が 4 月初旬に iOS 8.3 をリリースして以来、メール アプリはユーザーが受信する電子メールから潜在的に危険な HTML コードを削除するのをやめたようです。 1 つのタグは、メール アプリにコードをリモートでダウンロードして実行するように指示します。 このコマンドにより、iCloud ログイン要求ボックスの外観を模倣したフォーム ボックスが表示されます。 ユーザーがログインすると、ハッカーはその iCloud アカウントのユーザー名とパスワードを盗むことができます。 これら 2 つの情報を使用して、ハッカーは iCloud に保存されている他の個人情報を盗むことができます。
概念実証: iOS 8.3 Mail.app 攻撃
「このバグにより、リモート HTML コンテンツが読み込まれ、元の電子メール メッセージのコンテンツが置き換えられる可能性があります」と Jansoucek 氏 書きました. 「この UIWebView では JavaScript が無効になっていますが、単純な HTML と CSS [カスケード スタイル シート] を使用して機能的なパスワード「コレクター」を構築することは可能です。」
おすすめ動画
さらに悪いことに、この脆弱性によりメール アプリに追跡 Cookie が配置されるため、感染した電子メールがアプリで開かれるたびにコードが同じコマンドを実行することがなくなります。 こうすることで、ユーザーはメッセージを疑ったり、その特定の電子メールと iCloud ログイン プロンプトの間のリンクに気付かなくなります。 さらに、ハッカーはいつでもコードを変更して、別の情報にアクセスすることができます。
幸いなことに、iOS ユーザーがハッキングから身を守るために使用できるトリックがあります。 この悪意のあるコードは iCloud ログイン ボックスをかなりうまく模倣していますが、完璧ではありません。 まず、ボックスは Apple ID とパスワードの両方を要求しますが、iCloud は通常、パスワードのみを要求し、すでにユーザー名が表示されています。 第 2 に、ボックスはモーダルではないため、プロンプトが表示されたときに背景がフェードせず、画面が静止しません。 さらに、キーボードの提案はアクティブなままになりますが、これは iOS で iCloud プロンプトを受け取ったときに決して起こらないことです。
もちろん、これらの違いは微妙であり、多くの人はそれに気づきません。 Apple はまだ返答していませんが、パッチがすぐに提供されることを願っています。 それまでは、次回 iCloud ログイン要求が表示されたときに、これらの兆候がないかチェックして、ハッキングされていないことを確認してください。
編集者のおすすめ
- iOS 17の最もクールな新機能はAndroidユーザーにとっては恐ろしいニュースだ
- Apple は、iOS 17 を搭載した iPhone にまったく新しいアプリを追加します
- iOS 16.5 は 2 つのエキサイティングな新機能を iPhone にもたらします
- iPhone ロックダウン モード: セキュリティ機能の使用方法 (およびそうすべき理由)
- あなたの iPhone には環境を助ける秘密の機能があります - その仕組みは次のとおりです
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
