Matyt, nuo tada, kai balandžio pradžioje Apple išleido iOS 8.3, pašto programa nustojo pašalinti potencialiai pavojingą HTML kodą iš el. laiškų, kuriuos gauna vartotojai. Viena žyma nurodo pašto programai atsisiųsti ir vykdyti kodą nuotoliniu būdu. Tada komanda atveria formos laukelį, kuris imituoja „iCloud“ prisijungimo užklausos laukelio išvaizdą. Jei vartotojas prisijungia, įsilaužėlis gali pavogti jo arba jos „iCloud“ paskyros vartotojo vardą ir slaptažodį. Turėdamas šias dvi informacijos dalis, įsilaužėlis gali pavogti kitą asmeninę informaciją, saugomą „iCloud“.
Koncepcijos įrodymas: iOS 8.3 Mail.app ataka
„Ši klaida leidžia įkelti nuotolinį HTML turinį, pakeičiant pradinio el. pašto pranešimo turinį“, – sako Jansoucek. rašė. „JavaScript yra išjungtas šiame UIWebView, bet vis tiek galima sukurti funkcinį slaptažodžių rinktuvą naudojant paprastą HTML ir CSS [pakopinius stilių lapus].
Rekomenduojami vaizdo įrašai
Dar blogiau, dėl pažeidžiamumo į pašto programą įdedamas stebėjimo slapukas, kad kodas nevykdytų tos pačios komandos kiekvieną kartą, kai programoje atidaromas užkrėstas el. Tokiu būdu vartotojas nesukels įtarimų dėl pranešimo ir nepastebės ryšio tarp to konkretaus el. pašto ir „iCloud“ prisijungimo raginimo. Be to, įsilaužėlis gali bet kada pakeisti kodą, kad pasiektų kitokią informaciją.
Laimei, yra gudrybė, kurią „iOS“ vartotojai gali panaudoti norėdami apsisaugoti nuo įsilaužimo. Nors kenkėjiškas kodas gana gerai imituoja „iCloud“ prisijungimo laukelį, jis nėra tobulas. Pirmiausia laukelyje prašoma įvesti jūsų „Apple ID“ ir slaptažodį, o „iCloud“ paprastai prašo tik jūsų slaptažodžio ir jau rodo jūsų vartotojo vardą. Antra, dėžutė nėra modalinė, todėl fonas neblunka ir ekranas nėra statinis, kai pasirodo raginimas. Be to, klaviatūros pasiūlymai lieka suaktyvinti, o tai niekada neįvyksta, kai gaunate „iCloud“ raginimą „iOS“.
Žinoma, šie skirtumai yra subtilūs ir daugelis jų nepastebės. „Apple“ dar neatsakė, bet tikimės, kad pleistras netrukus pasirodys. Iki tol, kai kitą kartą pamatysite „iCloud“ prisijungimo užklausą, patikrinkite, ar nėra šių signalinių ženklų, kad įsitikintumėte, jog nesate įsilaužta.
Redaktorių rekomendacijos
- Šauniausia nauja iOS 17 funkcija yra siaubinga naujiena „Android“ naudotojams
- „Apple“ prideda visiškai naują programą jūsų „iPhone“ su „iOS 17“.
- „iOS 16.5“ jūsų „iPhone“ pristato dvi įdomias naujas funkcijas
- „iPhone“ užrakinimo režimas: kaip naudoti saugos funkciją (ir kodėl turėtumėte)
- Jūsų iPhone turi slaptą aplinką tausojančią funkciją – štai kaip ji veikia
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
