Acīmredzot kopš Apple izlaiduma iOS 8.3 aprīļa sākumā, lietotne Mail ir pārtraukusi noņemt potenciāli bīstamu HTML kodu no e-pastiem, ko lietotāji saņem. Viens tags uzdod lietotnei Mail lejupielādēt un attālināti izpildīt kodu. Pēc tam komanda atver veidlapas lodziņu, kas atdarina iCloud pieteikšanās pieprasījuma lodziņa izskatu. Ja lietotājs piesakās, hakeris var nozagt viņa vai viņas iCloud konta lietotājvārdu un paroli. Izmantojot šīs divas informācijas daļas, hakeris var nozagt citu personisko informāciju, kas tiek glabāta pakalpojumā iCloud.
Koncepcijas pierādījums: iOS 8.3 Mail.app uzbrukums
"Šī kļūda ļauj ielādēt attālo HTML saturu, aizstājot sākotnējā e-pasta ziņojuma saturu," Jansoucek rakstīja. “JavaScript šajā UIWebView ir atspējots, taču joprojām ir iespējams izveidot funkcionālu paroļu savācēju, izmantojot vienkāršu HTML un CSS [kaskādes stila lapas].”
Ieteiktie videoklipi
Lai padarītu situāciju vēl ļaunāku, ievainojamība ievieto izsekošanas sīkfailu lietotnē Mail, lai kods neizpildītu vienu un to pašu komandu katru reizi, kad lietotnē tiek atvērts inficētais e-pasts. Tādā veidā lietotājs nerada aizdomas par ziņojumu un nepamana saikni starp konkrēto e-pastu un iCloud pieteikšanās uzvedni. Turklāt hakeris jebkurā laikā var mainīt kodu, lai piekļūtu citai informācijai.
Par laimi, ir kāds triks, ko iOS lietotāji var izmantot, lai pasargātu sevi no uzlaušanas. Lai gan ļaunprātīgais kods diezgan labi imitē iCloud pieteikšanās lodziņu, tas nav ideāls. Vispirms lodziņā tiek prasīts gan jūsu Apple ID, gan parole, savukārt iCloud parasti prasa tikai jūsu paroli un jau parāda jūsu lietotājvārdu. Otrkārt, kaste nav modāla, tāpēc fons neizbalē un ekrāns nav statisks, kad tiek parādīta uzvedne. Turklāt tastatūras ieteikumi paliek aktivizēti, un tas nekad nenotiek, kad saņemat iCloud uzvedni operētājsistēmā iOS.
Protams, šīs atšķirības ir smalkas, un daudzi tās nepamanīs. Apple vēl nav atbildējusi, taču cerams, ka ielāps drīzumā parādīsies. Līdz tam nākamreiz, kad redzat iCloud pieteikšanās pieprasījumu, pārbaudiet, vai nav šīs indikatora zīmes, lai pārliecinātos, ka netiekat uzlauzts.
Redaktoru ieteikumi
- iOS 17 stilīgākā jaunā funkcija ir šausminošas ziņas Android lietotājiem
- Apple pievieno pavisam jaunu lietotni jūsu iPhone tālrunim ar iOS 17
- iOS 16.5 jūsu iPhone tālrunim piedāvā divas aizraujošas jaunas funkcijas
- iPhone bloķēšanas režīms: kā izmantot drošības funkciju (un kāpēc tas jādara)
- Jūsu iPhone tālrunim ir slepena funkcija, kas palīdz videi — lūk, kā tā darbojas
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi straujajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
