Zlyhanie v systéme iOS 8.3 umožňuje krádež našich hesiel

K veľkej väčšine krádeží hesla dochádza pomocou sociálne inžinierstvo. To znamená, že pseudo-hacker nás pozná dosť dobre na to, aby poznal naše heslá na základe našich chutí, preferencií alebo zvierat, partnerov, dátumov atď. Do príchodu dvojstupňového overenia boli dokonca schopní odpovedať na naše bezpečnostné otázky. Ale zlyhanie, o ktorom si v tomto článku povieme, je bezpečnostná chyba, ktorá existuje v systéme iOS 8.3.

Volal bezpečnostný vyšetrovateľ jansoucek objavil zneužitie v systéme iOS, ktoré umožňuje škodlivému používateľovi ukradnúť naše heslá iCloud. Všetko naznačuje, že iOS 8.3 nedokáže úspešne filtrovať potenciálne nebezpečný HTML kód vložený do prijatých e-mailov. Kód dôkaz o koncepcii čo používa jansoucek Využíva vyššie spomenutú chybu na vyvolanie vzdialeného HTML, ktoré vyzerá rovnako ako prihlasovacie okno iCloud, takže by nás oklamalo vložením hesla na nesprávne miesto. Falošné okno zmizne, keď klepnete na „OK“.

Existujú podrobnosti, ktoré nám umožňujú zistiť, že sme sa stali obeťami tohto systému ukradnúť naše heslo. Prediktívna klávesnica sa nevypne ako by to malo byť, aby sme videli e-mail s výzvou na zadanie hesla a videli sme, že prediktívna klávesnica je stále aktívna, Výstup budeme musieť ukončiť iba stlačením tlačidla Štart (domov), niečo, čo by sme nemohli urobiť, keby to bolo skutočné okno. Ak si to neuvedomíme, čo by tiež bolo pochopiteľné, mohol by používateľ so škodlivým kódom prevziať kontrolu nad našim účtom a zabrániť nám v jeho obnovení.

Najlepším spôsobom, ako zabrániť krádeži nášho účtu touto metódou, je zapnite dvojstupňové overenie. V prípade, že by došlo k odcudzeniu hesla a zlodej by sa pokúsil zadať z nového zariadenia, dostal by otázku, do ktorého dôveryhodného zariadenia sa kód odošle, a keďže ich nemá, nemohol nám ukradnúť účet.

jansoucek hovorí, že túto chybu nahlásil vlani v januári, zatiaľ však nebola vydaná opravná aktualizácia, ktorá by ju opravila. Každopádne uvádza, že funguje v systéme iOS 8.3 a že ešte nebol opravený, ale nehovorí, či je v beta verziách systému iOS 8.4 prítomný alebo nie. Vlastne sa to už dalo vyriešiť, takže zverejnenie tejto chyby je nezodpovedné.