Epäonnistuminen iOS 8.3: ssa antaa meille mahdollisuuden varastaa salasanamme

Monet salasanavarkauksista, valtaosa, tapahtuvat sosiaalinen suunnittelu. Tämä tarkoittaa, että näennäis hakkeri tuntee meidät tarpeeksi hyvin tietääkseen salasanamme makumme, mieltymystemme tai eläimiemme, kumppaneidemme, päivämäärien jne. Perusteella. Kaksivaiheisen vahvistuksen saapumiseen saakka he pystyivät jopa vastaamaan turvakysymyksiimme. Mutta epäonnistuminen, josta aiomme puhua tässä artikkelissa, on iOS 8.3: n tietoturva-aukko.

Turvatutkija soitti jansoucek on löytänyt iOS: ssä hyödyntämisen, jonka avulla haitallinen käyttäjä voi varastaa iCloud-salasanamme. Kaikki näyttää osoittavan, että iOS 8.3 ei pysty suodattamaan onnistuneesti vastaanotettuihin sähköposteihin upotettua mahdollisesti vaarallista HTML-koodia. Koodi proof-of-concept mitä jansoucek käyttää Edellä mainitun virheen hyödyntäminen käyttää kauko-HTML-koodia, joka näyttää identtiseltä iCloud-kirjautumisikkunalla, jotta se huijata meitä asettamaan salasanamme väärään paikkaan. Väärä ikkuna katoaa, kun napautat “OK”.

On yksityiskohtia, joiden avulla voimme tunnistaa, että olemme tämän järjestelmän uhreja varastaa salasanamme. Ennakoiva näppäimistö ei sammu niin kuin sen pitäisi olla, niin että jos näemme sähköpostin, joka kehottaa meitä syöttämään salasanan, ja näemme, että ennakoiva näppäimistö on edelleen aktiivinen, Meidän on poistuttava vain painamalla käynnistyspainiketta (koti), mitä emme voisi tehdä, jos se olisi oikea ikkuna. Jos emme ymmärrä sitä, mikä olisi myös ymmärrettävää, ilkeä käyttäjä voi ottaa tilimme hallintaan estäen meitä palauttamasta sitä.

Paras tapa estää tilimme varkaus tällä menetelmällä on ota kaksivaiheinen vahvistus käyttöön. Jos salasana varastettiin ja varas yritti päästä uudesta laitteesta, häneltä kysytään, mihin luotettuun laitteeseen koodi lähetetään, ja koska hänellä ei ole niitä, hän ei voinut varastaa tiliä.

jansoucek sanoo ilmoittaneensa tästä virheestä viime tammikuussa, mutta korjausta ei ole vielä julkaistu. Joka tapauksessa siinä todetaan, että se toimii iOS 8.3: ssa ja että sitä ei ole vielä korjattu, mutta se ei sano, onko sitä iOS 8.4 -betoissa vai ei. Itse asiassa se voitaisiin jo ratkaista, joten tämän virheen julkaiseminen on vastuutonta.