Najwyraźniej odkąd Apple wypuściło iOS 8.3 na początku kwietnia, aplikacja Mail przestała usuwać potencjalnie niebezpieczny kod HTML z e-maili otrzymywanych przez użytkowników. Jeden tag instruuje aplikację Mail, aby zdalnie pobrała i wykonała kod. Następnie polecenie wyświetla okno formularza, które naśladuje wygląd pola żądania logowania iCloud. Jeśli użytkownik się zaloguje, haker może ukraść jego nazwę użytkownika i hasło do konta iCloud. Dzięki tym dwóm informacjom haker może ukraść inne dane osobowe przechowywane w iCloud.
Weryfikacja koncepcji: atak Mail.app na iOS 8.3
„Ten błąd umożliwia załadowanie zdalnej treści HTML, zastępując treść oryginalnej wiadomości e-mail” – Jansoucek napisał. „JavaScript jest wyłączony w tym UIWebView, ale nadal możliwe jest zbudowanie funkcjonalnego „kolektora” haseł przy użyciu prostego HTML i CSS [kaskadowych arkuszy stylów]”.
Polecane filmy
Co gorsza, luka umieszcza śledzący plik cookie w aplikacji Mail, dzięki czemu kod nie wykonuje tego samego polecenia za każdym razem, gdy w aplikacji otwierana jest zainfekowana wiadomość e-mail. W ten sposób użytkownik nie nabierze podejrzeń co do wiadomości ani nie zauważy linku między konkretnym e-mailem a monitem o zalogowanie się do iCloud. Dodatkowo haker może w dowolnym momencie zmienić kod, aby uzyskać dostęp do innych informacji.
Na szczęście istnieje sztuczka, którą użytkownicy iOS mogą zastosować, aby uchronić się przed włamaniem. Chociaż złośliwy kod całkiem nieźle imituje pole logowania iCloud, nie jest doskonały. Po pierwsze, w polu zostanie wyświetlony monit o podanie zarówno identyfikatora Apple ID, jak i hasła, podczas gdy iCloud zazwyczaj prosi tylko o hasło i wyświetla już nazwę użytkownika. Po drugie, pole nie jest modalne, więc tło nie blaknie, a ekran nie jest statyczny, gdy pojawia się monit. Ponadto sugestie dotyczące klawiatury pozostają aktywne, co nigdy się nie zdarza, gdy pojawia się monit iCloud na iOS.
Oczywiście różnice te są subtelne i wielu ich nie zauważy. Apple jeszcze nie odpowiedziało, ale mamy nadzieję, że łatka pojawi się wkrótce. Do tego czasu, gdy następnym razem zobaczysz prośbę o zalogowanie się do iCloud, sprawdź te znaki ostrzegawcze, aby upewnić się, że nie zostałeś zhakowany.
Zalecenia redaktorów
- Najfajniejsza nowa funkcja iOS 17 to straszna wiadomość dla użytkowników Androida
- Apple dodaje zupełnie nową aplikację do Twojego iPhone'a z systemem iOS 17
- iOS 16.5 wprowadza dwie nowe, ekscytujące funkcje do Twojego iPhone'a
- Tryb blokady iPhone'a: jak korzystać z funkcji zabezpieczeń (i dlaczego powinieneś)
- Twój iPhone ma tajną funkcję, która pomaga chronić środowisko — oto jak to działa
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
