Il fallimento in iOS 8.3 ci consente di rubare le nostre password

Pablo Aparicio

2 minuti

Miniatura video per video Vimeo Processo di impronte digitali per bypassare la sicurezza Touch ID

Molti dei furti di password, la stragrande maggioranza, avvengono utilizzando Ingegneria sociale. Ciò significa che lo pseudo-hacker ci conosce abbastanza bene da conoscere le nostre password in base ai nostri gusti, preferenze o animali, partner, date, ecc. Fino all'arrivo della verifica in due passaggi, sono stati persino in grado di rispondere alle nostre domande di sicurezza. Ma il fallimento di cui parleremo in questo articolo è un difetto di sicurezza che esiste in iOS 8.3.

Ha chiamato un investigatore della sicurezza jansoucek ha scoperto un exploit in iOS che consente a un utente malintenzionato di rubare le nostre password iCloud. Tutto sembra indicare che iOS 8.3 non può filtrare con successo il codice HTML potenzialmente pericoloso incorporato nelle e-mail ricevute. Il codice proof-of-concept cosa usa jansoucek Sfrutta il suddetto difetto per invocare un HTML remoto che sembra identico alla finestra di accesso di iCloud, in modo che ci induca a mettere la nostra password nel posto sbagliato. La falsa finestra scompare quando si tocca "OK".

Ci sono dettagli che ci consentono di identificare che siamo vittime di questo sistema per rubare la nostra password. La tastiera predittiva non si spegne come dovrebbe essere, in modo che se vediamo un'e-mail che ci chiede di inserire la password e vediamo che la tastiera predittiva è ancora attiva, Dovremo solo uscire premendo il pulsante di avvio (home), qualcosa che non potremmo fare se fosse una vera finestra. Se non ce ne rendiamo conto, il che sarebbe anche comprensibile, l'utente malintenzionato potrebbe prendere il controllo del nostro account, impedendoci di ripristinarlo.

Il modo migliore per prevenire il furto del nostro account con questo metodo è attiva la verifica in due passaggi. Nel caso in cui la password fosse stata rubata e il ladro avesse tentato di entrare da un nuovo dispositivo, gli sarebbe stato chiesto a quale dispositivo fidato viene inviato il codice e, poiché non li possiede, non potrebbe rubare il nostro account.

jansoucek dice di aver segnalato questo bug lo scorso gennaio, ma nessuna patch è stata ancora rilasciata per risolverlo. Ad ogni modo, afferma che funziona in iOS 8.3 e che non è stato ancora risolto, ma non dice se è presente nelle beta di iOS 8.4 o meno. In realtà, potrebbe già essere risolto, quindi pubblicare questo bug è irresponsabile.


Sei interessato a:
Secondo Apple, è l'azienda più efficace al mondo in materia di sicurezza
Seguici su Google News

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   Dany sequeira suddetto
    fa 9 anni

    Adesso sono più calmo ...

    Rispondi a Dany Sequeira
  2.   Alvaro Del Pino Santana suddetto
    fa 9 anni

    Non so cosa sia successo a iOS 8, è stato un vero disastro ...

    Rispondi a Álvaro Del Pino Santana
  3.   monsone di Elis suddetto
    fa 9 anni

    Come scaricare CYDIA su un iPhone 4s

    Rispondi a Elis monzon