Ebaõnnestumine iOS 8.3-s võimaldab meil varastada oma paroole

Paljud paroolivargused, valdav osa, leiavad aset kasutades sotsiaalne tehnika. See tähendab, et pseudohäkker tunneb meid piisavalt hästi, et teada oma paroole lähtuvalt meie maitsest, eelistustest või loomadest, partneritest, kuupäevadest jne. Kuni kaheastmelise kinnitamise saabumiseni suutsid nad isegi meie turvaküsimustele vastata. Kuid ebaõnnestumine, millest me selles artiklis räägime, on iOS 8.3-s esinev turvaviga.

Helistas turvauurija jansoucek on avastanud iOS-is ärakasutamise, mis võimaldab pahatahtlikul kasutajal varastada meie iCloudi paroole. Kõik näib viitavat sellele, et iOS 8.3 ei saa vastuvõetud e-kirjadesse manustatud potentsiaalselt ohtlikku HTML-koodi edukalt filtreerida. Kood kontseptsiooni tõestus mida jansoucek kasutab Eespool nimetatud viga kasutab kaug-HTML-i käivitamine, mis näeb välja identne iCloudi sisselogimisaknaga, nii et see petaks meid parooli valesse kohta panema. Vale aken kaob, kui puudutate nuppu „OK”.

On üksikasju, mis võimaldavad meil tuvastada, et oleme selle süsteemi ohvrid meie parooli varastamiseks. Ennustav klaviatuur ei lülitu välja nagu peaks, nii et kui näeme meili, mis palub meil parooli sisestada, ja näeme, et sõnastikupõhine klaviatuur on endiselt aktiivne, Peame väljuma ainult vajutades nuppu Start (kodu), mida me ei saaks teha, kui see oleks päris aken. Kui me ei saa sellest aru, mis oleks ka mõistetav, võib pahatahtlik kasutaja meie konto üle kontrolli juhtida, takistades meil seda taastada.

Parim viis meie konto varguste vältimiseks selle meetodi abil on lülitage sisse kaheastmeline kinnitamine. Juhul kui parool varastati ja varas üritas uuest seadmest sisestada, küsiti temalt, millisesse usaldusväärsesse seadmesse kood saadetakse, ja kuna tal neid pole, ei saanud ta meie kontot varastada.

jansoucek ütleb, et teatas sellest veast eelmise aasta jaanuaris, kuid selle parandamiseks pole veel ühtegi plaastrit välja antud. Igatahes öeldakse, et see töötab iOS 8.3-s ja seda pole veel parandatud, kuid see ei ütle, kas see on iOS 8.4 beetaversioonides olemas või mitte. Tegelikult võiks selle juba lahendada, nii et selle vea avaldamine on vastutustundetu.