Fejl i iOS 8.3 tillader stjæling af vores adgangskoder

Pablo Aparicio

2 minutter

Videominiaturebillede til vimeo video Fingeraftryksproces for at omgå Touch ID-sikkerhed

Mange af adgangskodetyverierne, langt de fleste, forekommer ved hjælp af social engineering. Dette betyder, at pseudo-hackeren kender os godt nok til at kende vores adgangskoder baseret på vores smag, præferencer eller dyr, partnere, datoer osv. Indtil ankomsten af ​​totrinsbekræftelse var de endda i stand til at besvare vores sikkerhedsspørgsmål. Men den fiasko, som vi skal tale om i denne artikel, er en sikkerhedsfejl, der findes i iOS 8.3.

En sikkerhedsefterforsker ringede jansoucek har opdaget en udnyttelse i iOS, der gør det muligt for en ondsindet bruger at stjæle vores iCloud-adgangskoder. Alt ser ud til at indikere, at iOS 8.3 ikke med succes kan filtrere potentielt farlig HTML-kode indlejret i modtagne e-mails. Koden proof-of-concept hvad bruger jansoucek Det udnytter den førnævnte fejl at påberåbe sig en ekstern HTML, der ser identisk ud med iCloud-loginvinduet, så det vil narre os til at sætte vores adgangskode det forkerte sted. Det falske vindue forsvinder, når du trykker på "OK".

Der er detaljer, der giver os mulighed for at identificere, at vi er ofre for dette system at stjæle vores kodeord. Det forudsigelige tastatur slukkes ikke som det skal være, så hvis vi ser en e-mail, der får os til at indtaste adgangskoden, og vi ser, at det forudsigelige tastatur stadig er aktivt, Vi bliver kun nødt til at afslutte ved at trykke på startknappen (hjem), noget vi ikke kunne gøre, hvis det var et rigtigt vindue. Hvis vi ikke er klar over det, hvilket også ville være forståeligt, kunne den ondsindede bruger tage kontrol over vores konto og forhindre os i at gendanne den.

Den bedste måde at forhindre tyveri af vores konto på med denne metode er slå totrinsbekræftelse til. I tilfælde af at adgangskoden blev stjålet, og tyven forsøgte at indtaste fra en ny enhed, ville han blive bedt om, hvilken enhed der skulle have tillid til, koden sendes, og da han ikke har dem, kunne han ikke stjæle vores konto.

jansoucek siger, at det rapporterede om denne fejl i januar sidste år, men der er endnu ikke frigivet nogen programrettelse til at rette den. Under alle omstændigheder angiver det, at det fungerer i iOS 8.3, og at det endnu ikke er rettet, men det siger ikke, om det er til stede i iOS 8.4 betas eller ej. Faktisk kunne det allerede være løst, så det er uansvarligt at offentliggøre denne fejl.


Du er interesseret i:
Ifølge Apple er det den mest effektive virksomhed i verden inden for sikkerhed
Følg os på Google Nyheder

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for data: AB Internet Networks 2008 SL
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   Dany sequeira sagde han
    siden 9 år

    Nu er jeg roligere ...

    Besvar Dany Sequeira
  2.   Alvaro Del Pino Santana sagde han
    siden 9 år

    Jeg ved ikke, hvad der skete med iOS 8, det var en rigtig katastrofe ...

    Svar til Álvaro Del Pino Santana
  3.   elis monsun sagde han
    siden 9 år

    Sådan downloades CYDIA på en iPhone 4s

    Svar til Elis monzon