Aparent, de când Apple a lansat iOS 8.3 la începutul lunii aprilie, aplicația Mail a încetat să elimine codul HTML potențial periculos din e-mailurile primite de utilizatori. O etichetă indică aplicației Mail să descarce și să execute codul de la distanță. Comanda afișează apoi o casetă de formular, care imită aspectul unei casete de solicitare de conectare iCloud. Dacă utilizatorul se conectează, hackerul își poate fura numele de utilizator și parola contului iCloud. Cu aceste două informații, hackerul poate fura și alte informații personale stocate în iCloud.
Dovada de concept: atacul iOS 8.3 Mail.app
„Această eroare permite încărcarea conținutului HTML la distanță, înlocuind conținutul mesajului de e-mail original”, Jansoucek a scris. „JavaScript este dezactivat în acest UIWebView, dar este încă posibil să construiți un „colector” de parole funcțional folosind HTML și CSS simple [foi de stil în cascadă].”
Videoclipuri recomandate
Pentru a înrăutăți lucrurile, vulnerabilitatea plasează un cookie de urmărire în aplicația Mail, astfel încât codul să nu execute aceeași comandă de fiecare dată când e-mailul infectat este deschis în aplicație. În acest fel, utilizatorul nu devine suspicios cu privire la mesaj și nu observă legătura dintre acel e-mail specific și promptul de conectare la iCloud. În plus, hackerul poate schimba codul în orice moment pentru a accesa diferite informații.
Din fericire, există un truc pe care utilizatorii iOS îl pot folosi pentru a se proteja de hack. Deși codul rău intenționat face o imitație destul de bună a casetei de conectare iCloud, nu este perfect. În primul rând, caseta vă solicită atât ID-ul Apple, cât și parola, în timp ce iCloud vă solicită de obicei doar parola și vă afișează deja numele de utilizator. În al doilea rând, caseta nu este modală, astfel încât fundalul nu se estompează și ecranul nu este static atunci când apare solicitarea. În plus, sugestiile de la tastatură rămân activate, ceea ce nu se întâmplă niciodată când primiți o solicitare iCloud pe iOS.
Desigur, aceste diferențe sunt subtile și mulți nu le vor observa. Apple încă nu a răspuns, dar sperăm că patch-ul va veni curând. Până atunci, data viitoare când vedeți o solicitare de conectare la iCloud, verificați aceste semne indicatoare pentru a vă asigura că nu sunteți piratat.
Recomandările editorilor
- Cea mai tare caracteristică nouă a iOS 17 este o veste îngrozitoare pentru utilizatorii de Android
- Apple adaugă o aplicație nou-nouță pe iPhone-ul tău cu iOS 17
- iOS 16.5 aduce două funcții noi interesante pentru iPhone-ul tău
- Modul de blocare iPhone: cum să utilizați funcția de securitate (și de ce ar trebui)
- iPhone-ul tău are o funcție secretă care ajută mediul înconjurător - iată cum funcționează
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
