Судя по всему, с тех пор, как Apple выпустила iOS 8.3 в начале апреля, приложение «Почта» перестало удалять потенциально опасный HTML-код из получаемых пользователями электронных писем. Один тег предписывает приложению «Почта» удаленно загружать и выполнять код. Затем команда вызывает окно формы, которое имитирует внешний вид окна запроса входа в iCloud. Если пользователь войдет в систему, хакер сможет украсть имя пользователя и пароль его учетной записи iCloud. С помощью этих двух фрагментов информации хакер может украсть другую личную информацию, хранящуюся в iCloud.
Доказательство концепции: атака на iOS 8.3 Mail.app
«Эта ошибка позволяет загружать удаленный HTML-контент, заменяя содержимое исходного электронного письма», — Янсоучек. написал. «В этом UIWebView отключен JavaScript, но все же можно создать функциональный «сборщик паролей», используя простой HTML и CSS [каскадные таблицы стилей]».
Рекомендуемые видео
Что еще хуже, уязвимость помещает отслеживающий файл cookie в приложение «Почта», чтобы код не выполнял одну и ту же команду каждый раз, когда зараженное письмо открывается в приложении. Таким образом, пользователь не заподозрит подозрение в сообщении и не заметит связь между этим конкретным электронным письмом и приглашением для входа в iCloud. Кроме того, хакер может в любой момент изменить код для доступа к различной информации.
К счастью, есть хитрость, которую пользователи iOS могут использовать, чтобы защитить себя от взлома. Хотя вредоносный код довольно хорошо имитирует окно входа в iCloud, он не идеален. Во-первых, в окне запрашивается ваш Apple ID и пароль, в то время как iCloud обычно запрашивает только ваш пароль и уже отображает ваше имя пользователя. Во-вторых, окно не модальное, поэтому фон не тускнеет, а экран не статичен при появлении подсказки. Кроме того, предложения клавиатуры остаются активированными, чего никогда не происходит, когда вы получаете приглашение iCloud на iOS.
Конечно, эти различия неуловимы, и многие их не заметят. Apple пока не ответила, но, надеюсь, патч скоро выйдет. А пока в следующий раз, когда вы увидите запрос на вход в iCloud, проверьте эти контрольные признаки, чтобы убедиться, что вас не взломали.
Рекомендации редакции
- Самая крутая новая функция iOS 17 — ужасная новость для пользователей Android
- Apple добавляет новое приложение на ваш iPhone с iOS 17
- iOS 16.5 приносит на ваш iPhone две потрясающие новые функции
- Режим блокировки iPhone: как использовать функцию безопасности (и почему это следует делать)
- В вашем iPhone есть секретная функция, которая помогает окружающей среде — вот как она работает
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.