2345技术员同盟

iOS最新漏洞可实现“以假乱真”的iCloud密码钓鱼

近日平安研究职员发布了一份漏洞利用代码。这份代码表明,攻击者可以或许或许颠末过程足以以假乱真的钓鱼,轻易窃取应用最新iOS版本的iCloud密码。


漏洞原理


这个概念验证性攻击利用了iOS体系中默认的电子邮件程序Mail.app的一个漏洞。自从4月初iOS8.3版本发布以来,该应用就未能从接收邮件消息中适当剔除含有潜在危险的HTML代码。这个POC恰是利用了这一漏洞,它从长途效劳器下载一个表单,该表单看起来与正当的iCloud登录提醒窗口完全相同。每当用户检查包含“陷阱”的消息时,这个伪造的登录提醒窗都可以或许或许主动显示。


GitHub上一个用户名为jansoucek的人在readme文件中写入了如下说明:


“这个漏洞允许长途加载HTML内容,并可以或许或许替换原始电子邮件消息的内容。虽然这个UIWebView 中禁用了JavaScript,但仍有可能颠末过程简略的HTML和CSS创建一个功效密码收集器。”


为了低落它的可疑性,攻击者可以或许或许编程实现仅仅弹出一次的密码窗口。为了使其看起来加倍真实,攻击代码应用了一个主动对焦特性,以确保一旦用户点击了“OK”按钮,那么该对话框域将主动隐藏。然而,为了触发该漏洞,所必要做的仅仅是使发送给用户的邮件中包含HTML标签。


该漏洞除了可以或许或许用来钓鱼苹果用户的密码,还可以或许或许用来发送“提醒信息”,以此使得邮件发送者知道谁检查了该邮件、什么时候以什么IP地址检查了该邮件。


平安建议


作为一个iPhone的长期用户,这可能是一个严重的漏洞:因为iOS体系在意想不到的时候显示登录提醒并不少见。


平安研究职员曾在周三收到过如许一个“钓鱼提醒”,而该攻击发生的光阴仅仅是了解到该漏洞之前的几个小时。


平安研究职员建议用户碰到如许的密码提醒保没最佳不要输入任何帐号密码,而是间接按下取消按钮。颠末过程如许做,大多数环境下用户将不会面对什么不良后果,最糟糕的环境也仅仅是再次弹出提醒而已。值得一提的是,当用户向密码提醒框中输入密码前,首先应该确保此时没有检查电子邮件。


别的,更有经验的用户可以或许颠末过程按下home键来检测这个假提醒。正当的提醒是“模态对话框”,这意味着在按下OK或取消按钮之前,它不允许用户停止任何其余操纵。相比之下,伪造的密码提醒并不是模态的,所以如果在显示密码提醒框时按下home键设备回到了主屏幕,那么这就表明这个密码提醒是不行信的。


相干文章

本文来自蚂蚁视觉创意网www.myjzbx.com),转载本文请注明来源.
本文链接:/content/security/hacker/20150614/6162.html
热门排行
无觅相干文章插件,疾速晋升流量
友情链接:母婴之家网  股票入门网  重金属矿技术网  黑马机械设备信息网  免费教育培训网  投资家网  绳艺小说  花瓣养生新闻网  九尾餐饮管理网  华夏夜读网