Očitno, odkar je Apple v začetku aprila izdal iOS 8.3, je aplikacija Mail prenehala odstranjevati potencialno nevarno kodo HTML iz e-poštnih sporočil, ki jih prejmejo uporabniki. Ena oznaka naroči aplikaciji Mail, naj na daljavo prenese in izvede kodo. Ukaz nato odpre polje z obrazcem, ki posnema videz polja z zahtevo za prijavo v iCloud. Če se uporabnik prijavi, lahko heker ukrade njegovo uporabniško ime in geslo za račun iCloud. S tema dvema podatkoma lahko heker ukrade druge osebne podatke, shranjene v iCloudu.
Dokaz koncepta: napad iOS 8.3 Mail.app
"Ta napaka omogoča nalaganje oddaljene vsebine HTML, ki nadomešča vsebino izvirnega e-poštnega sporočila," Jansoucek
napisal. "JavaScript je onemogočen v tem UIWebView, vendar je še vedno mogoče zgraditi funkcionalen 'zbiralnik' gesel z uporabo preprostih HTML in CSS [kaskadnih slogovnih listov]."Priporočeni videoposnetki
Da bi bile stvari še hujše, ranljivost postavi sledilni piškotek v aplikacijo Mail, tako da koda ne izvede istega ukaza vsakič, ko se v aplikaciji odpre okužena e-pošta. Na ta način uporabniku sporočilo ne postane sumničavo ali opazi povezave med določenim e-poštnim sporočilom in pozivom za prijavo v iCloud. Poleg tega lahko heker kadar koli spremeni kodo za dostop do različnih informacij.
Na srečo obstaja trik, ki ga lahko uporabijo uporabniki sistema iOS, da se zaščitijo pred vdorom. Čeprav zlonamerna koda precej dobro posnema polje za prijavo iCloud, ni popolna. Prvič, polje zahteva vaš Apple ID in geslo, medtem ko iCloud običajno zahteva samo vaše geslo in že prikaže vaše uporabniško ime. Drugič, polje ni modalno, zato ozadje ne zbledi in zaslon ni statičen, ko se prikaže poziv. Poleg tega ostanejo aktivirani predlogi tipkovnice, kar se nikoli ne zgodi, ko prejmete poziv iCloud v sistemu iOS.
Seveda so te razlike subtilne in mnogi jih ne bodo opazili. Apple se še ni odzval, vendar upajmo, da bo popravek kmalu prišel. Do takrat, ko boste naslednjič videli zahtevo za prijavo v iCloud, preverite te znake, da se prepričate, da vas ne vdrejo.
Priporočila urednikov
- Najbolj kul nova funkcija iOS 17 je grozljiva novica za uporabnike Androida
- Apple dodaja popolnoma novo aplikacijo v vaš iPhone z iOS 17
- iOS 16.5 prinaša dve vznemirljivi novi funkciji za vaš iPhone
- Način zaklepanja iPhone: kako uporabljati varnostno funkcijo (in zakaj bi jo morali)
- Vaš iPhone ima skrivno funkcijo, ki pomaga okolju – tukaj je, kako deluje
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.