Tilsynelatende, helt siden Apple lanserte iOS 8.3 tidlig i april, har Mail-appen sluttet å fjerne potensielt farlig HTML-kode fra e-postene brukere mottar. En tag instruerer Mail-appen om å laste ned og kjøre kode eksternt. Kommandoen viser deretter en skjemaboks, som etterligner utseendet til en iCloud-påloggingsboks. Hvis brukeren logger på, kan hackeren stjele hans eller hennes iCloud-konto brukernavn og passord. Med disse to opplysningene kan hackeren stjele annen personlig informasjon som er lagret i iCloud.
Proof-of-concept: iOS 8.3 Mail.app-angrep
"Denne feilen lar eksternt HTML-innhold lastes, og erstatter innholdet i den originale e-postmeldingen," Jansoucek skrev. "JavaScript er deaktivert i denne UIWebView, men det er fortsatt mulig å bygge en funksjonell passordsamler ved å bruke enkel HTML og CSS [cascading style sheets]."
Anbefalte videoer
For å gjøre vondt verre plasserer sårbarheten en sporingsinformasjonskapsel i Mail-appen, slik at koden ikke utfører den samme kommandoen hver gang den infiserte e-posten åpnes i appen. På den måten blir ikke brukeren mistenksom på meldingen eller legger merke til koblingen mellom den spesifikke e-posten og iCloud-påloggingsforespørselen. I tillegg kan hackeren endre koden når som helst for å få tilgang til annen informasjon.
Heldigvis er det et triks som iOS-brukere kan bruke for å beskytte seg mot hacket. Selv om den ondsinnede koden gjør en ganske god imitasjon av iCloud-påloggingsboksen, er den ikke perfekt. For det første ber boksen om både Apple ID og passord, mens iCloud vanligvis ber om bare passordet ditt og allerede viser brukernavnet ditt. For det andre er boksen ikke modal, så bakgrunnen blekner ikke og skjermen er ikke statisk når forespørselen kommer opp. I tillegg forblir tastaturforslag aktivert, noe som aldri skjer når du mottar en iCloud-forespørsel på iOS.
Selvfølgelig er disse forskjellene subtile, og mange vil ikke legge merke til dem. Apple har ennå ikke svart, men forhåpentligvis kommer oppdateringen snart. Inntil da, neste gang du ser en iCloud-påloggingsforespørsel, se etter disse avslørende tegnene for å sikre at du ikke blir hacket.
Redaktørenes anbefalinger
- iOS 17s kuleste nye funksjon er fryktelige nyheter for Android-brukere
- Apple legger til en helt ny app til din iPhone med iOS 17
- iOS 16.5 bringer to spennende nye funksjoner til din iPhone
- iPhone Lockdown Mode: hvordan bruke sikkerhetsfunksjonen (og hvorfor du bør)
- Din iPhone har en hemmelig funksjon som hjelper miljøet – slik fungerer det
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
