ความล้มเหลวใน iOS 8.3 ทำให้เราสามารถขโมยรหัสผ่านของเราได้

การขโมยรหัสผ่านส่วนใหญ่เกิดขึ้นโดยใช้ วิศวกรรมสังคม. นั่นหมายความว่าแฮ็กเกอร์หลอกรู้จักเราดีพอที่จะรู้รหัสผ่านของเราตามรสนิยมความชอบหรือสัตว์คู่หูวันที่ ฯลฯ จนกว่าการยืนยันแบบ XNUMX ขั้นตอนจะมาถึงพวกเขายังสามารถตอบคำถามเพื่อความปลอดภัยของเราได้ แต่ความล้มเหลวที่เราจะพูดถึงในบทความนี้ก็คือ ข้อบกพร่องด้านความปลอดภัยที่มีอยู่ใน iOS 8.3.

เจ้าหน้าที่ตรวจสอบความปลอดภัยโทรมา jansoucek ได้ค้นพบช่องโหว่ใน iOS ที่อนุญาตให้ผู้ไม่ประสงค์ดีขโมยรหัสผ่าน iCloud ของเรา. ทุกอย่างดูเหมือนจะบ่งชี้ว่า iOS 8.3 ไม่สามารถกรองโค้ด HTML ที่อาจเป็นอันตรายที่ฝังอยู่ในอีเมลที่ได้รับได้สำเร็จ รหัส หลักฐานของแนวคิด jansoucek ใช้อะไร ใช้ประโยชน์จากข้อบกพร่องดังกล่าวเพื่อเรียกใช้ HTML ระยะไกลที่มีลักษณะเหมือนกับหน้าต่างล็อกอิน iCloud เพื่อที่จะหลอกให้เราใส่รหัสผ่านผิดที่. หน้าต่างเท็จจะหายไปเมื่อคุณแตะ“ ตกลง”

มีรายละเอียดที่ช่วยให้เราระบุได้ว่าเรากำลังเป็นเหยื่อของระบบนี้ เพื่อขโมยรหัสผ่านของเรา แป้นพิมพ์คาดเดาไม่ปิด ตามที่ควรจะเป็นดังนั้นหากเราเห็นอีเมลที่ทำให้เราป้อนรหัสผ่านและเราเห็นว่าแป้นพิมพ์คาดเดายังคงทำงานอยู่ เราจะต้องออกโดยการกดปุ่มเริ่มต้น (home) เท่านั้นสิ่งที่เราไม่สามารถทำได้หากเป็นหน้าต่างจริง หากเราไม่ทราบซึ่งเป็นที่เข้าใจได้เช่นกันผู้ใช้ที่เป็นอันตรายสามารถเข้าควบคุมบัญชีของเราป้องกันไม่ให้เรากู้คืนได้

วิธีที่ดีที่สุดในการป้องกันการขโมยบัญชีของเราด้วยวิธีนี้คือ เปิดการยืนยันแบบ XNUMX ขั้นตอน. ในกรณีที่รหัสผ่านถูกขโมยและขโมยพยายามเข้าจากอุปกรณ์ใหม่เขาจะถูกขอให้ส่งรหัสไปยังอุปกรณ์ที่เชื่อถือได้และเนื่องจากเขาไม่มีพวกเขาจึงไม่สามารถขโมยบัญชีของเราได้

jansoucek กล่าวว่าได้รายงานข้อบกพร่องนี้เมื่อเดือนมกราคมที่ผ่านมา แต่ยังไม่มีการปล่อยแพทช์เพื่อแก้ไข อย่างไรก็ตามระบุว่าใช้งานได้ใน iOS 8.3 และยังไม่ได้รับการแก้ไข แต่ไม่ได้บอกว่ามีอยู่ใน iOS 8.4 betas หรือไม่ อันที่จริงมันสามารถแก้ไขได้แล้วดังนั้นการเผยแพร่ข้อบกพร่องนี้จึงไม่มีความรับผิดชอบ