Door een storing in iOS 8.3 kunnen we onze wachtwoorden stelen

Pablo Aparicio

2 minuten

Videominiatuur voor vimeo-video Vingerafdrukproces om Touch ID-beveiliging te omzeilen

Veel van de wachtwoorddiefstallen, de overgrote meerderheid, vinden plaats met social engineering​ Dit betekent dat de pseudo-hacker ons goed genoeg kent om onze wachtwoorden te kennen op basis van onze smaak, voorkeuren of dieren, partners, datums, enz. Tot de komst van authenticatie in twee stappen konden ze zelfs onze beveiligingsvragen beantwoorden. Maar de mislukking waar we het in dit artikel over gaan hebben is een beveiligingsfout die bestaat in iOS 8.3.

Een veiligheidsonderzoeker belde jansoucek heeft een exploit in iOS ontdekt waarmee een kwaadwillende gebruiker onze iCloud-wachtwoorden kan stelen​ Alles lijkt erop te wijzen dat iOS 8.3 niet met succes potentieel gevaarlijke HTML-code kan filteren die is ingesloten in ontvangen e-mails. De code proof-of-concept wat gebruikt jansoucek maakt gebruik van de bovengenoemde fout om een ​​externe HTML aan te roepen die er identiek uitziet als het iCloud-inlogvenster, zodat het ons zou misleiden om ons wachtwoord op de verkeerde plaats te zetten​ Het valse venster verdwijnt wanneer u op "OK" tikt.

Er zijn details waarmee we kunnen vaststellen dat we het slachtoffer zijn van dit systeem om ons wachtwoord te stelen. Voorspellend toetsenbord wordt niet uitgeschakeld zoals het hoort, zodat als we een e-mail zien die ons vraagt ​​het wachtwoord in te voeren en we zien dat het voorspellende toetsenbord nog steeds actief is, We hoeven alleen af ​​te sluiten door op de startknop (home) te drukken, iets wat we niet zouden kunnen doen als het een echt raam was. Als we het ons niet realiseren, wat ook begrijpelijk zou zijn, zou de kwaadwillende gebruiker de controle over ons account kunnen overnemen, waardoor we het niet kunnen herstellen.

De beste manier om diefstal van ons account op deze manier te voorkomen, is schakel authenticatie in twee stappen in​ In het geval dat het wachtwoord werd gestolen en de dief probeerde binnen te komen vanaf een nieuw apparaat, zou hem worden gevraagd naar welk vertrouwd apparaat de code is verzonden en aangezien hij ze niet heeft, kon hij ons account niet stelen.

jansoucek zegt dat het deze bug afgelopen januari heeft gerapporteerd, maar er is nog geen patch uitgebracht om het te repareren. Hoe dan ook, het stelt dat het werkt in iOS 8.3 en dat het nog niet is opgelost, maar het zegt niet of het aanwezig is in de bèta's van iOS 8.4 of niet. Het zou eigenlijk al kunnen worden opgelost, dus het publiceren van deze bug is onverantwoord.


Ben je geïnteresseerd in:
Volgens Apple is het het meest effectieve bedrijf ter wereld op het gebied van beveiliging
Volg ons op Google Nieuws

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Dany sequeira zei
    geleden Tot 9 jaar

    Nu ben ik rustiger ...

    Reageer op Dany Sequeira
  2.   Alvaro Del Pino Santana zei
    geleden Tot 9 jaar

    Ik weet niet wat er met iOS 8 is gebeurd, het was een echte ramp ...

    Reageer op Álvaro Del Pino Santana
  3.   Elis Monzon zei
    geleden Tot 9 jaar

    Hoe CYDIA te downloaden op een IPhone 4s

    Reageer op Elis monzon