يسمح لنا الفشل في iOS 8.3 بسرقة كلمات المرور الخاصة بنا

تحدث العديد من سرقات كلمات المرور ، الغالبية العظمى منها ، باستخدام الهندسة الاجتماعية. هذا يعني أن المخترق الزائف يعرفنا جيدًا بما يكفي لمعرفة كلمات المرور الخاصة بنا بناءً على أذواقنا أو تفضيلاتنا أو حيواناتنا وشركائنا وتواريخنا وما إلى ذلك. حتى وصول التحقق بخطوتين ، كانوا قادرين على الإجابة على أسئلة الأمان الخاصة بنا. لكن الفشل الذي سنتحدث عنه في هذا المقال هو ثغرة أمنية موجودة في iOS 8.3.

اتصل محقق أمني اكتشف jansoucek ثغرة في iOS تسمح لمستخدم ضار بسرقة كلمات مرور iCloud الخاصة بنا. يبدو أن كل شيء يشير إلى أن iOS 8.3 لا يمكنه تصفية شفرة HTML التي يحتمل أن تكون خطيرة والمضمنة في رسائل البريد الإلكتروني المستلمة بنجاح. الرمز إثبات صحة مفهوم ماذا يستخدم jansoucek يستفيد من الخطأ المذكور أعلاه لاستدعاء HTML بعيد يبدو مطابقًا لنافذة تسجيل الدخول إلى iCloud ، بحيث يخدعنا في وضع كلمة المرور الخاصة بنا في المكان الخطأ. النافذة الخاطئة تختفي عند النقر على "موافق".

هناك تفاصيل تسمح لنا بتحديد أننا ضحايا لهذا النظام لسرقة كلمة المرور الخاصة بنا. لوحة المفاتيح التنبؤية لا تنطفئ كما ينبغي ، حتى إذا رأينا بريدًا إلكترونيًا يطالبنا بإدخال كلمة المرور ورأينا أن لوحة المفاتيح التنبؤية لا تزال نشطة ، لن نضطر للخروج إلا بالضغط على زر البداية (الصفحة الرئيسية)، شيء لا يمكننا فعله إذا كانت نافذة حقيقية. إذا لم ندرك ذلك ، وهو أمر مفهوم أيضًا ، فقد يتحكم المستخدم الضار في حسابنا ، ويمنعنا من استعادته.

أفضل طريقة لمنع سرقة حسابنا بهذه الطريقة هي قم بتشغيل التحقق من خطوتين. في حالة سرقة كلمة المرور وحاول السارق الدخول من جهاز جديد ، فسيُطلب منه تحديد الجهاز الموثوق به الذي تم إرسال الرمز إليه ، ولأنه لا يمتلكها ، فلن يتمكن من سرقة حسابنا.

يقول jansoucek إنه أبلغ عن هذا الخطأ في يناير الماضي ، ولكن لم يتم إصدار تصحيح لإصلاحه بعد. على أي حال ، ينص على أنه يعمل في iOS 8.3 وأنه لم يتم إصلاحه بعد ، لكنه لا يوضح ما إذا كان موجودًا في الإصدار التجريبي من iOS 8.4 أم لا. في الواقع ، يمكن حلها بالفعل ، لذا فإن نشر هذا الخطأ غير مسؤول.