Awaria w iOS 8.3 pozwala nam ukraść nasze hasła

Większość kradzieży haseł ma miejsce przy użyciu Inżynieria społeczna. Oznacza to, że pseudo-haker zna nas na tyle dobrze, że zna nasze hasła na podstawie naszych upodobań, preferencji lub zwierząt, partnerów, dat itp. Aż do pojawienia się weryfikacji dwuetapowej byli w stanie odpowiedzieć nawet na nasze pytania bezpieczeństwa. Ale niepowodzeniem, o którym będziemy mówić w tym artykule, jest luka w zabezpieczeniach występująca w iOS 8.3.

Zadzwonił śledczy ds. Bezpieczeństwa jansoucek odkrył exploit w iOS, który umożliwia złośliwemu użytkownikowi kradzież naszych haseł iCloud. Wszystko wskazuje na to, że iOS 8.3 nie może skutecznie filtrować potencjalnie niebezpiecznego kodu HTML osadzonego w otrzymywanych wiadomościach e-mail. Kod dowód koncepcji czego używa jansoucek wykorzystuje powyższą lukę, aby wywołać zdalny kod HTML, który wygląda identycznie jak okno logowania iCloud, aby nakłonić nas do umieszczenia naszego hasła w niewłaściwym miejscu. Fałszywe okno znika po dotknięciu „OK”.

Istnieją szczegóły, które pozwalają nam zidentyfikować, że jesteśmy ofiarami tego systemu aby ukraść nasze hasło. Klawiatura predykcyjna nie wyłącza się tak, jak powinno, aby jeśli zobaczymy e-mail z prośbą o podanie hasła i zobaczymy, że klawiatura predykcyjna jest nadal aktywna, Będziemy musieli tylko wyjść, naciskając przycisk start (strona główna)coś, czego nie moglibyśmy zrobić, gdyby to było prawdziwe okno. Jeśli nie zdajemy sobie z tego sprawy, co również byłoby zrozumiałe, złośliwy użytkownik mógłby przejąć kontrolę nad naszym kontem, uniemożliwiając nam jego odzyskanie.

Najlepszym sposobem zapobiegania kradzieży naszego konta tą metodą jest włącz weryfikację dwuetapową. W przypadku kradzieży hasła, a złodziej próbował wejść z nowego urządzenia, zostałby zapytany, na które zaufane urządzenie zostanie wysłany kod, a ponieważ ich nie ma, nie może ukraść naszego konta.

jansoucek twierdzi, że zgłosił ten błąd w styczniu ubiegłego roku, ale nie wydano jeszcze żadnej łatki, która by go naprawiła. W każdym razie stwierdza, że ​​działa w iOS 8.3 i że nie zostało to jeszcze naprawione, ale nie mówi, czy jest obecny w wersji beta iOS 8.4, czy nie. Właściwie można to już rozwiązać, więc opublikowanie tego błędu jest nieodpowiedzialne.