3
蘋果在剛剛向開發者發布的第四個 beta 版本的 iOS 8.4中,解決了短信關機漏洞。不過,新的漏洞又出現了,這次小心你的iCloud密碼。
據外媒arstechnica報道,安全研究人員近日發布了一份漏洞利用代碼。這份代碼表明,攻擊者可以通過足以以假亂真的釣魚,輕易竊取使用最新iOS版本的iCloud密碼。
據該研究人員表示,他在1月份向蘋果公司報告了該漏洞,但迄今為止蘋果拒絕提供漏洞修復。這個概念驗證性攻擊利用了iOS系統中默認的電子郵件程序Mail.app的一個漏洞,該應用自從4月初iOS8.3版本發布以來,就未能從接收郵件消息中適當剔除含有潛在危險的HTML代碼。而正是利用這個漏洞,POC(黑客圈中指觀點驗證程序)從遠程服務器下載一個表單,該表單看起來與合法的iCloud登錄提示窗口完全相同。用戶將很容易陷入“陷阱”之中。
在周三發生攻擊的幾個小時后,安全研究人員曾收到一個“釣魚提示”。
為了讓這個對話框看起來更加真實,攻擊代碼使用了一個自動對焦特性,以確保一旦用戶點擊了“OK”按鈕,那么該對話框域將自動隱藏。然而,在發給用戶的郵件中包含的HTML標簽<meta http-equiv=refresh>則已悄悄觸發了該漏洞。
目前,蘋果方面并未做出任何回應。而安全研究人員的建議是,不要輸入任何帳號密碼,而是直接按下取消按鈕。因為如果是正常的提示框,在按下OK或取消按鈕之前,它不允許用戶進行任何其他操作。而偽造的密碼提示并不是模態的,所以如果在顯示密碼提示框時按下home鍵設備回到了主屏幕,那么這就表明這個密碼提示是不可信的。
iCloud密碼被竊取的后果,在經歷了美國好萊塢“艷照門”事件,相信大家已經畏懼。所以,看好你家密碼,別讓自己成為下一個艷照門。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
