Неизправността в iOS 8.3 ни позволява да откраднем паролите си

Голяма част от кражбите на пароли, по-голямата част от тях, се използват социално инженерство. Това означава, че псевдохакерът ни познава достатъчно добре, за да знае паролите ни въз основа на нашите вкусове, предпочитания или животни, партньори, дати и т.н. До пристигането на потвърждаването в две стъпки те дори успяха да отговорят на нашите въпроси за сигурност. Но провалът, за който ще говорим в тази статия, е недостатък в сигурността, който съществува в iOS 8.3.

Обади се следовател по сигурността jansoucek откри експлойт в iOS, който позволява на злонамерен потребител да открадне нашите пароли за iCloud. Всичко изглежда показва, че iOS 8.3 не може успешно да филтрира потенциално опасния HTML код, вграден в получените имейли. Кодът доказване на концепцията какво използва jansoucek Възползва се от гореспоменатия недостатък, за да извика отдалечен HTML код, който изглежда идентичен с прозореца за вход в iCloud, така че да ни подведе да поставим паролата си на грешното място. Фалшивият прозорец изчезва, когато докоснете „OK“.

Има подробности, които ни позволяват да установим, че сме жертви на тази система за да открадне нашата парола. Предсказуемата клавиатура не се изключва както трябва да бъде, така че ако видим имейл, който ни подканва да въведем паролата и видим, че клавиатурата за предсказване е все още активна, Ще трябва да излезем само чрез натискане на бутона за стартиране (начало), нещо, което не бихме могли да направим, ако беше истински прозорец. Ако не го осъзнаем, което също би било разбираемо, злонамереният потребител може да поеме контрола над нашия акаунт, като ни попречи да го възстановим.

Най-добрият начин да предотвратим кражба на нашата сметка по този метод е включете потвърждаването в две стъпки. В случай, че паролата бъде открадната и крадецът се опита да влезе от ново устройство, той ще бъде попитан до кое доверено устройство се изпраща кодът и тъй като той ги няма, той не може да открадне акаунта ни.

jansoucek казва, че е съобщил за тази грешка миналия януари, но все още не е пуснат пластир, който да я поправи. Както и да е, той посочва, че работи в iOS 8.3 и че все още не е поправен, но не казва дали присъства в бета версията на iOS 8.4 или не. Всъщност тя вече може да бъде решена, така че публикуването на тази грешка е безотговорно.