Kegagalan dalam iOS 8.3 membolehkan kami mencuri kata laluan kami

Sebilangan besar pencurian kata laluan, sebahagian besarnya berlaku dengan menggunakan Kejuruteraan sosial. Ini bermaksud bahawa penggodam palsu sememangnya cukup mengenali kami untuk mengetahui kata laluan kami berdasarkan citarasa, pilihan atau haiwan kami, rakan kongsi, tarikh, dll. Sehingga kedatangan Pengesahan XNUMX Langkah, mereka bahkan dapat menjawab soalan keselamatan kami. Tetapi kegagalan yang akan kita bincangkan dalam artikel ini adalah kelemahan keselamatan yang ada di iOS 8.3.

Seorang penyiasat keselamatan memanggil jansoucek telah menemui eksploitasi di iOS yang membolehkan pengguna jahat mencuri kata laluan iCloud kami. Segala-galanya menunjukkan bahawa iOS 8.3 tidak dapat menapis kod HTML yang berpotensi berbahaya yang tersemat dalam e-mel yang diterima. Kodnya bukti konsep apa yang digunakan oleh jansoucek Ia mengambil kesempatan dari kekurangan yang disebutkan di atas untuk menggunakan HTML jauh yang kelihatan sama dengan tetingkap masuk iCloud, sehingga akan menipu kita untuk memasukkan kata laluan kita di tempat yang salah.. Tetingkap palsu hilang apabila anda mengetuk “OK”.

Terdapat perincian yang membolehkan kita mengenal pasti bahawa kita menjadi mangsa sistem ini untuk mencuri kata laluan kami. Papan kekunci ramalan tidak dimatikan sebagaimana mestinya, supaya jika kita melihat e-mel yang meminta kita memasukkan kata laluan dan kita melihat bahawa papan kekunci ramalan masih aktif, Kita hanya perlu keluar dengan menekan butang mula (rumah), sesuatu yang tidak dapat kita lakukan jika itu adalah jendela sebenar. Sekiranya kita tidak menyedarinya, yang juga dapat difahami, pengguna yang berniat jahat itu dapat mengawal akaun kita, sehingga kita tidak dapat memulihkannya.

Kaedah terbaik untuk mencegah pencurian akaun kita dengan kaedah ini adalah hidupkan pengesahan XNUMX langkah. Sekiranya kata laluan dicuri dan pencuri itu cuba masuk dari peranti baru, dia akan ditanya ke mana alat yang dipercayai kod itu dikirimkan, dan kerana dia tidak memilikinya, dia tidak dapat mencuri akaun kami.

jansoucek mengatakan ia melaporkan bug ini pada Januari lalu, tetapi belum ada patch yang dikeluarkan untuk memperbaikinya. Bagaimanapun, ia menyatakan bahawa ia berfungsi di iOS 8.3 dan masih belum diperbaiki, tetapi ia tidak mengatakan sama ada ia terdapat dalam beta 8.4 iOS atau tidak. Sebenarnya, ini sudah dapat diselesaikan, jadi menerbitkan bug ini tidak bertanggungjawab.