Nesėkmė naudojant „iOS 8.3“ leidžia mums pavogti slaptažodžius

Pablo Aparicio

2 minučių

Vaizdo įrašo miniatiūra, skirta „vimeo“ vaizdo įrašui. Pirštų atspaudų procesas, skirtas apeiti „Touch ID“ saugumą

Daugelis slaptažodžių vagysčių, didžioji dauguma, įvyksta naudojant socialinė inžinerija. Tai reiškia, kad pseudo įsilaužėlis mus pakankamai gerai pažįsta, kad žinotų mūsų slaptažodžius pagal skonį, pageidavimus ar gyvūnus, partnerius, datas ir kt. Iki patvirtinimo dviem veiksmais atėjimo jie netgi galėjo atsakyti į mūsų saugumo klausimus. Tačiau nesėkmė, apie kurią kalbėsime šiame straipsnyje, yra saugumo trūkumas, esantis „iOS 8.3“.

Paskambino saugumo tyrėjas „jansoucek“ atrado „iOS“ išnaudojimą, kuris leidžia piktavališkam vartotojui pavogti mūsų „iCloud“ slaptažodžius. Panašu, kad viskas rodo, kad „iOS 8.3“ negali sėkmingai filtruoti potencialiai pavojingo HTML kodo, įdėto į gautus el. Laiškus. Kodas koncepcijos įrodymas ką naudoja jansoucek Norint pasinaudoti minėtu trūkumu, reikia pasinaudoti nuotoliniu HTML, kuris atrodo identiškas „iCloud“ prisijungimo langui, kad tai apgautų mus neteisingai įdėti slaptažodį. Netikras langas dings, kai paliesite „Gerai“.

Yra detalių, leidžiančių nustatyti, kad esame šios sistemos aukos pavogti mūsų slaptažodį. Nuspėjamoji klaviatūra neišsijungia kaip turėtų būti, kad jei pamatytume el. laišką, kuriame raginama įvesti slaptažodį, ir pamatytume, kad nuspėjamoji klaviatūra vis dar aktyvi, Turėsime išeiti tik paspausdami pradžios mygtuką (namo), ko negalėtume padaryti, jei tai būtų tikras langas. Jei to nesuvokiame, kas taip pat būtų suprantama, kenkėjiškas vartotojas galėtų perimti savo paskyros valdymą, neleisdamas jos atkurti.

Geriausias būdas išvengti mūsų sąskaitos vagystės šiuo metodu yra įjungti patvirtinimą dviem veiksmais. Tuo atveju, jei slaptažodis buvo pavogtas ir vagis bandė įeiti iš naujo įrenginio, jo bus klausiama, į kurį patikimą įrenginį kodas siunčiamas, ir kadangi jis jų neturi, jis negalėjo pavogti mūsų paskyros.

„jansoucek“ teigia, kad pranešė apie šią klaidą praėjusių metų sausį, tačiau dar nebuvo išleistas pleistras, kuris ją pašalintų. Šiaip ar taip, jame teigiama, kad jis veikia „iOS 8.3“ ir kad jis dar nėra pataisytas, tačiau nenurodoma, ar jis yra „iOS 8.4“ beta versijose, ar ne. Tiesą sakant, tai jau būtų galima išspręsti, todėl šios klaidos paskelbimas yra neatsakingas.


Jus domina:
Pasak „Apple“, tai yra efektyviausia kompanija pasaulyje saugumo srityje
Sekite mus „Google“ naujienose

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   Dany sequeira sakė
    prieš 9 metai

    Dabar man ramiau ...

    Atsakyti Dany Sequeira
  2.   Alvaro Del Pino Santana sakė
    prieš 9 metai

    Nežinau, kas nutiko „ios 8“, tai buvo tikra katastrofa ...

    Atsakymas Álvaro Del Pino Santanai
  3.   Elis Monzon sakė
    prieš 9 metai

    Kaip atsisiųsti CYDIA į „iPhone 4s“

    Atsakymas Elis monzon