近日一位安全研究人员公布了一份攻击代码。他表示，黑客利用这份代码可以轻松盗取使用最新版 iOS 系统用户的 iCloud 账户密码。

这份代码已经被验证有效，它利用了 iOS 原生邮件应用 Mail 的漏洞。自从今年四月 iOS 8.3 发布以来，Mail 应用就一直不能适当屏蔽掉新邮件消息中含有潜在危险的 HTML 代码。被公布的攻击代码就是利用这个漏洞：它可以从远程服务器下载一份看起来同 iCloud 原版登录提示一模一样的表格。每当用户打开这个藏有陷阱的信息，假冒的 iCloud 登录界面就会出现。

GitHub 用户 jansoucek 在一份自述文件中说：「远程 HTML 内容可以利用这个 bug 进行加载，然后替换掉原来的邮件信息。」我们无法在这个 UIWebView 中使用 JavaScript，但黑客依旧可以利用简单的 HTML 和 CSS 建立一个可以工作的密码「收集器」。

为了避免用户产生怀疑，黑客可以对这个漏洞进行编程。这样一来他们就可以让密码提示界面只出现一次，而不是每次用户浏览恶意信息时都出现。为了模仿苹果原本用来验证用户身份的登录提示界面，这份攻击代码使用了自动对焦功能在用户点击「OK」按钮之后隐藏对话区域。

只要用户收到了含有「meta http-equiv=refresh」这段 HTML 代码标签的邮件，黑客就可以利用联网计算机远程制造一个假冒的登陆提示界面。接着，黑客会在 Mail 应用的内置浏览器中嵌入恶意邮件中的图片，以便欺骗用户输入自己的密码。除了用来盗取密码之外，黑客还可以利用这个漏洞发送「」指向标。这样他发件人就知道哪些收件人已经阅读了恶意邮件，何时阅读了恶意邮件，从什么网络地址浏览了恶意邮件。

罗伯•格雷汉姆(Rob Graham)是 Errata Security 公司 CEO，一直以来都使用 IPhone。他认为这个漏洞非常严重，因为正常的 iOS 系统也会多次显示密码登录界面，这增加了用户的受害几率。在他看来，用户遇到要求输入密码提示界面时最好的办法是点击取消，而不是输入任何登录信息。大部分时候，用户取消密码输入后不会带来什么严重后果，最糟糕的情况也就是系统再次弹出提示要求用户输入密码。如果用户真的需要输入密码，那么他们要确保这时候自己没有打开任何邮件。

更有经验的 iOS 用户还会利用其他方法防范风险：遇到输入密码的登录提示时，用户可以点击 Home 按钮。iOS 系统的登录提示属于「情态模式」，也就是说用户只能点击确认或者取消按钮，无法进行其他操作。假冒的登录提示界面则不是这样，用户点击 Home 按钮后系统会回到主屏幕。

发现这个漏洞的研究人员表示，自己在一月份就向苹果提交了这个漏洞，但是该公司一直没有对其进行修复。苹果在一份邮件声明中表示：「据我们所知，还没有任何用户受到这个漏洞的影响。我们正在努力修复，会在即将到来的 iOS 系统更新中解决这个问题。」另外，该公司还强烈建议用户采用双重身份验证。

松松资讯站顶端广告位现特价销售，详情点击：松松商城   客服QQ：100510020

来源：松松科技 QQ/微信：lusongsong7 ，转载请注明出处！

本文地址：https://down.lusongsong.com/info/3176.html