분명히 Apple이 4월 초에 iOS 8.3을 출시한 이후로 Mail 앱은 사용자가 받는 이메일에서 잠재적으로 위험한 HTML 코드를 제거하는 것을 중단했습니다. 하나의 태그는 메일 앱에 원격으로 코드를 다운로드하고 실행하도록 지시합니다. 그런 다음 명령은 iCloud 로그인 요청 상자의 모양을 모방한 양식 상자를 표시합니다. 사용자가 로그인하면 해커는 자신의 iCloud 계정 사용자 이름과 비밀번호를 훔칠 수 있습니다. 이 두 가지 정보를 통해 해커는 iCloud에 저장된 다른 개인 정보를 훔칠 수 있습니다.
개념 증명: iOS 8.3 Mail.app 공격
"이 버그를 사용하면 원격 HTML 콘텐츠를 로드하여 원본 이메일 메시지의 콘텐츠를 대체할 수 있습니다." Jansoucek 썼다. "이 UIWebView에서는 JavaScript가 비활성화되어 있지만 간단한 HTML 및 CSS[계단식 스타일 시트]를 사용하여 기능적 비밀번호 '수집기'를 구축하는 것은 여전히 가능합니다."
추천 동영상
설상가상으로, 이 취약점은 메일 앱에 추적 쿠키를 배치하여 감염된 이메일이 앱에서 열릴 때마다 코드가 동일한 명령을 실행하지 않도록 합니다. 이렇게 하면 사용자는 메시지를 의심하지 않고 특정 이메일과 iCloud 로그인 프롬프트 사이의 링크를 알아차리지도 않습니다. 또한 해커는 언제든지 코드를 변경하여 다른 정보에 접근할 수 있습니다.
다행스럽게도 iOS 사용자가 해킹으로부터 자신을 보호하기 위해 사용할 수 있는 트릭이 있습니다. 악성 코드는 iCloud 로그인 상자를 꽤 잘 모방하지만 완벽하지는 않습니다. 먼저, 상자에는 Apple ID와 비밀번호를 모두 묻는 반면, iCloud는 일반적으로 비밀번호만 묻고 이미 사용자 이름을 표시합니다. 둘째, 상자가 모달이 아니므로 프롬프트가 나타날 때 배경이 흐려지지 않고 화면이 정적으로 움직이지 않습니다. 또한 키보드 제안은 활성화된 상태로 유지되는데, 이는 iOS에서 iCloud 메시지를 받을 때 절대 발생하지 않는 일입니다.
물론 이러한 차이점은 미묘하여 많은 사람들이 이를 알아차리지 못할 것입니다. Apple은 아직 응답하지 않았지만 곧 패치가 제공되기를 바랍니다. 그때까지는 다음에 iCloud 로그인 요청이 표시될 때 이러한 표시를 확인하여 해킹당하고 있지 않은지 확인하세요.
편집자의 추천
- iOS 17의 가장 멋진 새 기능은 Android 사용자에게 끔찍한 소식입니다.
- Apple이 iOS 17을 통해 iPhone에 새로운 앱을 추가합니다.
- iOS 16.5는 iPhone에 두 가지 흥미로운 새 기능을 제공합니다.
- iPhone 잠금 모드: 보안 기능을 사용하는 방법(및 사용해야 하는 이유)
- iPhone에는 환경에 도움이 되는 비밀 기능이 있습니다. 작동 방법은 다음과 같습니다.
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속해서 살펴볼 수 있도록 도와줍니다.
