-
近日一位安全研究人员公布了一份攻击代码。他表示,黑客利用这份代码可以轻松盗取使用最新版 iOS 系统用户的 iCloud 账户密码。
这份代码已经被验证有效,它利用了 iOS 原生邮件应用 Mail 的漏洞。自从今年四月 iOS 8.3 发布以来,Mail 应用就一直不能适当屏蔽掉新邮件消息中含有潜在危险的 HTML 代码。被公布的攻击代码就是利用这个漏洞:它可以从远程服务器下载一份看起来同 iCloud 原版登录提示一模一样的表格。每当用户打开这个藏有陷阱的信息,假冒的 iCloud 登录界面就会出现。
GitHub 用户 jansoucek 在一份自述文件中说:「远程 HTML 内容可以利用这个 bug 进行加载,然后替换掉原来的邮件信息。」我们无法在这个 UIWebView 中使用 JavaScript,但黑客依旧可以利用简单的 HTML 和 CSS 建立一个可以工作的密码「收集器」。
为了避免用户产生怀疑,黑客可以对这个漏洞进行编程。这样一来他们就可以让密码提示界面只出现一次,而不是每次用户浏览恶意信息时都出现。为了模仿苹果原本用来验证用户身份的登录提示界面,这份攻击代码使用了自动对焦功能在用户点击「OK」按钮之后隐藏对话区域。
只要用户收到了含有「meta http-equiv=refresh」这段 HTML 代码标签的邮件,黑客就可以利用联网计算机远程制造一个假冒的登陆提示界面。接着,黑客会在 Mail 应用的内置浏览器中嵌入恶意邮件中的图片,以便欺骗用户输入自己的密码。除了用来盗取密码之外,黑客还可以利用这个漏洞发送「」指向标。这样他发件人就知道哪些收件人已经阅读了恶意邮件,何时阅读了恶意邮件,从什么网络地址浏览了恶意邮件。
罗伯•格雷汉姆(Rob Graham)是 Errata Security 公司 CEO,一直以来都使用 IPhone。他认为这个漏洞非常严重,因为正常的 iOS 系统也会多次显示密码登录界面,这增加了用户的受害几率。在他看来,用户遇到要求输入密码提示界面时最好的办法是点击取消,而不是输入任何登录信息。大部分时候,用户取消密码输入后不会带来什么严重后果,最糟糕的情况也就是系统再次弹出提示要求用户输入密码。如果用户真的需要输入密码,那么他们要确保这时候自己没有打开任何邮件。
更有经验的 iOS 用户还会利用其他方法防范风险:遇到输入密码的登录提示时,用户可以点击 Home 按钮。iOS 系统的登录提示属于「情态模式」,也就是说用户只能点击确认或者取消按钮,无法进行其他操作。假冒的登录提示界面则不是这样,用户点击 Home 按钮后系统会回到主屏幕。
发现这个漏洞的研究人员表示,自己在一月份就向苹果提交了这个漏洞,但是该公司一直没有对其进行修复。苹果在一份邮件声明中表示:「据我们所知,还没有任何用户受到这个漏洞的影响。我们正在努力修复,会在即将到来的 iOS 系统更新中解决这个问题。」另外,该公司还强烈建议用户采用双重身份验证。
松松资讯站顶端广告位现特价销售,详情点击:松松商城 客服QQ:100510020
来源:松松科技 QQ/微信:lusongsong7
iOS 惊现大 BUG,用户 iCloud 密码可能泄露
| 阅读量 | 分类: 移动互联网 | 作者: 无名-松松推广
相关文章阅读更多:苹果 漏洞
- 2015-03-26 (2015年3月更新版)App Store最新审核指南
- 2015-04-09 苹果Apple Watch终极购买攻略
- 2015-04-09 海淘Apple Watch你要了解的些事情
- 2015-04-24 “官翻”iPhone为何如此破旧?真相令人无语
- 2015-05-16 台媒:怕Home键损坏 中国iPhone用户爱用小圆点
- 2015-05-18 小圆点VSHome键,中国人的消费观念有何不同
- 2015-05-27 高中生带手机上课 老师当场摔碎其iPhone 6
- 2015-06-05 一加手机CEO刘作虎晒苹果手表:悲剧的很
- 2015-06-08 iPhone 6卖的太好,苹果公司成了美国最赚钱的公司
- 2015-07-04 苹果笑了:美国近半智能机用户在用iPhone
- 2015-07-19 苹果三星要干掉SIM卡,运营商会同意吗?
- 2015-09-10 苹果发布iPhone 6s与iPhone 6s Plus 增玫瑰金 中国首发
- 2015-09-16 卖肾之后,捐精买苹果iPhone6s再引热议
- 2015-09-21 苹果正式回应XcodeGhost木马事件
- 2020-06-28本站开通了在线投稿,点此立刻给我投稿哦!
发表感想加入微信群
点此登录松松云平台免费认证