Mange af adgangskodetyverierne, langt de fleste, forekommer ved hjælp af social engineering. Dette betyder, at pseudo-hackeren kender os godt nok til at kende vores adgangskoder baseret på vores smag, præferencer eller dyr, partnere, datoer osv. Indtil ankomsten af totrinsbekræftelse var de endda i stand til at besvare vores sikkerhedsspørgsmål. Men den fiasko, som vi skal tale om i denne artikel, er en sikkerhedsfejl, der findes i iOS 8.3.
En sikkerhedsefterforsker ringede jansoucek har opdaget en udnyttelse i iOS, der gør det muligt for en ondsindet bruger at stjæle vores iCloud-adgangskoder. Alt ser ud til at indikere, at iOS 8.3 ikke med succes kan filtrere potentielt farlig HTML-kode indlejret i modtagne e-mails. Koden proof-of-concept hvad bruger jansoucek Det udnytter den førnævnte fejl at påberåbe sig en ekstern HTML, der ser identisk ud med iCloud-loginvinduet, så det vil narre os til at sætte vores adgangskode det forkerte sted. Det falske vindue forsvinder, når du trykker på "OK".
Der er detaljer, der giver os mulighed for at identificere, at vi er ofre for dette system at stjæle vores kodeord. Det forudsigelige tastatur slukkes ikke som det skal være, så hvis vi ser en e-mail, der får os til at indtaste adgangskoden, og vi ser, at det forudsigelige tastatur stadig er aktivt, Vi bliver kun nødt til at afslutte ved at trykke på startknappen (hjem), noget vi ikke kunne gøre, hvis det var et rigtigt vindue. Hvis vi ikke er klar over det, hvilket også ville være forståeligt, kunne den ondsindede bruger tage kontrol over vores konto og forhindre os i at gendanne den.
Den bedste måde at forhindre tyveri af vores konto på med denne metode er slå totrinsbekræftelse til. I tilfælde af at adgangskoden blev stjålet, og tyven forsøgte at indtaste fra en ny enhed, ville han blive bedt om, hvilken enhed der skulle have tillid til, koden sendes, og da han ikke har dem, kunne han ikke stjæle vores konto.
jansoucek siger, at det rapporterede om denne fejl i januar sidste år, men der er endnu ikke frigivet nogen programrettelse til at rette den. Under alle omstændigheder angiver det, at det fungerer i iOS 8.3, og at det endnu ikke er rettet, men det siger ikke, om det er til stede i iOS 8.4 betas eller ej. Faktisk kunne det allerede være løst, så det er uansvarligt at offentliggøre denne fejl.
Nu er jeg roligere ...
Jeg ved ikke, hvad der skete med iOS 8, det var en rigtig katastrofe ...
Sådan downloades CYDIA på en iPhone 4s