Очевидно, з тих пір, як Apple випустила iOS 8.3 на початку квітня, програма Mail перестала видаляти потенційно небезпечний HTML-код з електронних листів, які отримують користувачі. Один тег наказує програмі Mail завантажувати та виконувати код віддалено. Потім команда відкриває вікно форми, яке імітує вигляд вікна запиту входу в iCloud. Якщо користувач увійшов, хакер може викрасти ім’я користувача та пароль його облікового запису iCloud. За допомогою цих двох частин інформації хакер може викрасти іншу особисту інформацію, що зберігається в iCloud.
Підтвердження концепції: атака iOS 8.3 Mail.app
«Ця помилка дозволяє завантажувати віддалений HTML-контент, замінюючи вміст вихідного повідомлення електронної пошти», — Янсучек написав. «JavaScript вимкнено в цьому UIWebView, але все одно можна створити функціональний «збірник» паролів за допомогою простих HTML і CSS [каскадних таблиць стилів]».
Рекомендовані відео
Що ще гірше, уразливість розміщує файли cookie для відстеження в програмі Mail, щоб код не виконував ту саму команду кожного разу, коли в програмі відкривається інфікований електронний лист. Таким чином, користувач не запідозрить повідомлення або не помітить зв’язку між цією електронною поштою та запитом входу в iCloud. Крім того, хакер може будь-коли змінити код, щоб отримати доступ до іншої інформації.
На щастя, є трюк, яким користувачі iOS можуть скористатися, щоб захистити себе від злому. Хоча шкідливий код досить добре імітує вікно входу в iCloud, він не ідеальний. По-перше, вікно запитує як ваш Apple ID, так і ваш пароль, тоді як iCloud зазвичай запитує лише ваш пароль і вже відображає ваше ім’я користувача. По-друге, поле не є модальним, тому фон не тьмяніє, а екран не є статичним, коли з’являється підказка. Крім того, пропозиції клавіатури залишаються активними, чого ніколи не відбувається, коли ви отримуєте підказку iCloud на iOS.
Звичайно, ці відмінності незначні, і багато хто їх не помітить. Apple ще не відповіла, але, сподіваюся, патч з’явиться найближчим часом. До того часу наступного разу, коли ви побачите запит на вхід iCloud, перевірте наявність цих контрольних знаків, щоб переконатися, що вас не зламали.
Рекомендації редакції
- Найкрутіша нова функція iOS 17 — жахлива новина для користувачів Android
- Apple додає нову програму на ваш iPhone з iOS 17
- iOS 16.5 приносить дві захоплюючі нові функції для вашого iPhone
- Режим блокування iPhone: як користуватися функцією безпеки (і чому це потрібно робити)
- Ваш iPhone має секретну функцію, яка допомагає навколишньому середовищу — ось як вона працює
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
