Eșecul în iOS 8.3 permite furtul parolelor noastre

Multe dintre furturile de parole, marea majoritate, au loc folosind Inginerie sociala. Aceasta înseamnă că pseudo-hackerul ne cunoaște suficient de bine pentru a cunoaște parolele noastre pe baza gusturilor, preferințelor sau animalelor, partenerilor, datele etc. Până la sosirea verificării în doi pași, au putut chiar să răspundă la întrebările noastre de securitate. Dar eșecul despre care vom vorbi în acest articol este un defect de securitate care există în iOS 8.3.

A sunat un anchetator de securitate jansoucek a descoperit un exploit în iOS care permite unui utilizator rău intenționat să ne fure parolele iCloud. Totul pare să indice că iOS 8.3 nu poate filtra cu succes codul HTML potențial periculos încorporat în e-mailurile primite. Codul dovada-of-concept ce folosește jansoucek Profită de defectul menționat anterior pentru a invoca un cod HTML de la distanță, care arată identic cu fereastra de conectare iCloud, astfel încât să ne păcălească să ne plasăm parola în locul greșit. Fereastra falsă dispare când atingeți „OK”.

Există detalii care ne permit să identificăm că suntem victime ale acestui sistem să ne fure parola. Tastatura predictivă nu se oprește așa cum ar trebui, astfel încât, dacă vedem un e-mail care ne face să introducem parola și vedem că tastatura predictivă este încă activă, Va trebui să ieșim doar apăsând butonul Start (acasă), ceva ce nu am putea face dacă ar fi o fereastră reală. Dacă nu ne dăm seama, ceea ce ar fi, de asemenea, de înțeles, utilizatorul rău intenționat ar putea prelua controlul asupra contului nostru, împiedicându-ne să îl recuperăm.

Cea mai bună modalitate de a preveni furtul contului nostru prin această metodă este activați verificarea în doi pași. În cazul în care parola a fost furată și hoțul a încercat să intre de pe un dispozitiv nou, i s-ar cere către ce dispozitiv de încredere este trimis codul și, din moment ce nu le are, nu ne-a putut fura contul.

jansoucek spune că a raportat această eroare în ianuarie anul trecut, dar nu a fost încă lansat niciun patch pentru a o remedia. Oricum, afirmă că funcționează în iOS 8.3 și că nu a fost încă reparat, dar nu spune dacă este prezent în iOS 8.4 beta sau nu. De fapt, ar putea fi deja rezolvat, deci publicarea acestui bug este iresponsabilă.