Неуспех у иОС 8.3 омогућава нам крађу лозинки

Многе крађе лозинки, велика већина, дешавају се користећи социјални инжењеринг. То значи да нас псеудо-хакер познаје довољно добро да бисмо знали наше лозинке на основу нашег укуса, склоности или животиња, партнера, датума итд. До доласка верификације у XNUMX корака чак су могли да одговоре на наша безбедносна питања. Али неуспех о којем ћемо говорити у овом чланку јесте сигурносна мана која постоји у иОС 8.3.

Позвао је истражитељ безбедности јансоуцек је открио екплоит у иОС-у који злонамерном кориснику омогућава крађу наших иЦлоуд лозинки. Чини се да све указује на то да иОС 8.3 не може успешно да филтрира потенцијално опасан ХТМЛ код уграђен у примљене е-поруке. Код доказ концепта шта користи јансоуцек Користи горе поменуту ману да позове удаљени ХТМЛ који изгледа идентично прозору за пријаву иЦлоуд, тако да би нас преварио да своју лозинку поставимо на погрешно место. Лажни прозор нестаје када додирнете „У реду“.

Постоје детаљи који нам омогућавају да утврдимо да смо жртве овог система да нам украду лозинку. Предиктивна тастатура се не искључује како би требало да буде, тако да ако видимо е-пошту која нас тражи да унесемо лозинку и видимо да је предиктивна тастатура и даље активна, Морамо изаћи само притиском на дугме за старт (дом), нешто што не бисмо могли да урадимо да је то прави прозор. Ако то не схватимо, што би такође било разумљиво, злонамерни корисник би могао преузети контролу над нашим налогом, спречавајући нас да га опоравимо.

Најбољи начин да се овом методом спречи крађа нашег рачуна је укључите верификацију у XNUMX корака. У случају да је лозинка украдена и лопов је покушао да уђе са новог уређаја, питали би га на који поуздани уређај је шифра послата, а пошто их нема, није могао да нам украде налог.

јансоуцек каже да је ову грешку пријавио прошлог јануара, али још није објављен ниједан закрп који би могао да је поправи. У сваком случају, наводи да ради у иОС 8.3 и да још увек није поправљен, али не каже да ли је присутан у иОС 8.4 бетама или не. Заправо, то би већ могло бити решено, па је објављивање ове грешке неодговорно.