Neuspjeh u iOS 8.3 omogućuje krađu naših lozinki

Mnoge krađe lozinki, velika većina, događaju se pomoću socijalni inženjering. To znači da nas pseudo-haker poznaje dovoljno dobro da bismo znali naše lozinke na temelju našeg ukusa, sklonosti ili životinja, partnera, datuma itd. Do dolaska potvrde u XNUMX koraka čak su mogli odgovoriti na naša sigurnosna pitanja. Ali neuspjeh o kojem ćemo govoriti u ovom članku jest sigurnosna mana koja postoji u iOS-u 8.3.

Nazvao je istražitelj sigurnosti jansoucek je otkrio exploit u iOS-u koji zlonamjernom korisniku omogućuje krađu naših iCloud lozinki. Čini se da sve ukazuje na to da iOS 8.3 ne može uspješno filtrirati potencijalno opasan HTML kôd ugrađen u primljene e-poruke. Kod dokaz-of-concept što koristi jansoucek Prethodno spomenuti nedostatak iskorištava za pozivanje udaljenog HTML-a koji izgleda identično prozoru za prijavu iCloud, tako da bi nas zavarao da svoju lozinku postavimo na pogrešno mjesto. Lažni prozor nestaje kad dodirnete "U redu".

Postoje detalji koji nam omogućuju da utvrdimo da smo žrtve ovog sustava da nam ukradu lozinku. Prediktivna tipkovnica se ne isključuje kao što bi trebalo biti, tako da ako vidimo e-poštu koja nas traži da unesemo lozinku i vidimo da je prediktivna tipkovnica i dalje aktivna, Morat ćemo izaći samo pritiskom na gumb Start (dom), nešto što ne bismo mogli učiniti da je to pravi prozor. Ako to ne shvatimo, što bi također bilo razumljivo, zlonamjerni korisnik mogao bi preuzeti kontrolu nad našim računom, sprječavajući nas da ga oporavimo.

Najbolji način da ovom metodom spriječimo krađu našeg računa je uključite potvrdu u XNUMX koraka. U slučaju da je lozinka ukradena i lopov je pokušao ući s novog uređaja, pitali bi ga na koji pouzdani uređaj se kôd šalje, a budući da ih nema, nije mogao ukrasti naš račun.

jansoucek kaže da je ovu pogrešku prijavio prošlog siječnja, ali još nije objavljena zakrpa koja bi je mogla popraviti. U svakom slučaju, navodi da radi u iOS 8.3 i da još nije popravljen, ali ne kaže je li prisutan u iOS 8.4 betama ili ne. Zapravo, to bi već moglo biti riješeno, pa je objavljivanje ove pogreške neodgovorno.