iOS 8.3で失敗すると、パスワードを盗むことができます

パスワードの盗難の多くは、大多数が使用して発生します ソーシャルエンジニアリング。 これは、疑似ハッカーが私たちを十分に知っており、私たちの好み、好み、動物、パートナー、日付などに基づいてパスワードを知っていることを意味します。 XNUMX段階認証プロセスが到着するまで、彼らは私たちのセキュリティの質問に答えることさえできました。 しかし、この記事で説明する失敗は iOS8.3に存在するセキュリティ上の欠陥.

と呼ばれるセキュリティ調査員 jansoucekは、悪意のあるユーザーがiCloudパスワードを盗むことを可能にするiOSのエクスプロイトを発見しました。 iOS 8.3は、受信した電子メールに埋め込まれている潜在的に危険なHTMLコードを正常にフィルタリングできないことをすべて示しているようです。 コード コンセプトの証明 jansoucekは何を使用しますか 前述の欠陥を利用して、iCloudログインウィンドウと同じように見えるリモートHTMLを呼び出すと、パスワードを間違った場所に置くように仕向けられます。。 「OK」をタッチすると、偽のウィンドウが消えます。

私たちがこのシステムの犠牲者であることを特定するための詳細があります パスワードを盗むため。 予測キーボードがオフにならない パスワードの入力を求める電子メールが表示され、予測キーボードがまだアクティブであることがわかった場合は、 スタートボタン（ホーム）を押すだけで終了します、それが本当の窓だったら私たちができなかったこと。 私たちがそれを認識しない場合、これも理解できるでしょうが、悪意のあるユーザーが私たちのアカウントを制御し、私たちがそれを回復するのを妨げる可能性があります。

この方法でアカウントの盗難を防ぐ最善の方法は、 XNUMX段階認証をオンにします。 パスワードが盗まれ、泥棒が新しいデバイスから入力しようとした場合、コードが送信された信頼できるデバイスを尋ねられ、パスワードを持っていないため、アカウントを盗むことができませんでした。

jansoucekは、昨年8.3月にこのバグを報告したと述べていますが、それを修正するパッチはまだリリースされていません。 とにかく、それはiOS 8.4で動作し、まだ修正されていないと述べていますが、iOSXNUMXベータ版に存在するかどうかについては述べていません。 実際には、すでに解決されている可能性があるため、このバグを公開することは無責任です。