Uppenbarligen, ända sedan Apple släppte iOS 8.3 i början av april, har Mail-appen slutat ta bort potentiellt farlig HTML-kod från e-postmeddelanden som användare får. En tagg instruerar Mail-appen att ladda ner och exekvera kod på distans. Kommandot tar sedan upp en formulärruta som efterliknar utseendet på en iCloud-inloggningsruta. Om användaren loggar in kan hackaren stjäla hans eller hennes iCloud-kontos användarnamn och lösenord. Med dessa två uppgifter kan hackaren stjäla annan personlig information som lagras i iCloud.
Proof-of-concept: iOS 8.3 Mail.app attack
"Denna bugg tillåter att fjärranslutet HTML-innehåll laddas och ersätter innehållet i det ursprungliga e-postmeddelandet," Jansoucek skrev. "JavaScript är inaktiverat i denna UIWebView, men det är fortfarande möjligt att bygga en funktionell lösenordssamlare med hjälp av enkel HTML och CSS [cascading style sheets]."
Rekommenderade videor
För att göra saken värre placerar sårbarheten en spårningscookie i Mail-appen, så att koden inte kör samma kommando varje gång det infekterade e-postmeddelandet öppnas i appen. På så sätt blir användaren inte misstänksam mot meddelandet eller märker länken mellan det specifika e-postmeddelandet och iCloud-inloggningsprompten. Dessutom kan hackaren ändra koden när som helst för att komma åt annan information.
Lyckligtvis finns det ett knep som iOS-användare kan använda för att skydda sig mot hacket. Även om den skadliga koden gör en ganska bra imitation av iCloud-inloggningsrutan, är den inte perfekt. Först och främst frågar rutan om både ditt Apple-ID och ditt lösenord, medan iCloud vanligtvis bara ber om ditt lösenord och redan visar ditt användarnamn. För det andra är lådan inte modal, så bakgrunden bleknar inte och skärmen är inte statisk när prompten kommer upp. Dessutom förblir tangentbordsförslag aktiverade, vilket är något som aldrig händer när du får en iCloud-prompt på iOS.
Naturligtvis är dessa skillnader subtila, och många kommer inte att märka dem. Apple har ännu inte svarat, men förhoppningsvis kommer patchen snart. Tills dess, nästa gång du ser en iCloud-inloggningsförfrågan, kontrollera efter dessa tecken för att säkerställa att du inte blir hackad.
Redaktörens rekommendationer
- iOS 17:s coolaste nya funktion är hemska nyheter för Android-användare
- Apple lägger till en helt ny app till din iPhone med iOS 17
- iOS 16.5 ger din iPhone två spännande nya funktioner
- iPhone Lockdown Mode: hur man använder säkerhetsfunktionen (och varför du borde)
- Din iPhone har en hemlig funktion som hjälper miljön – så här fungerar det
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
