蘋果在剛剛向開發者發佈的第四個 beta 版本的 iOS 8.4中,解決了短信關機漏洞。不過,新的漏洞又出現了,這次小心你的iCloud密碼。
據外媒arstechnica報道,安全研究人員近日發佈了一份漏洞利用代碼。這份代碼表明,攻擊者可以通過足以以假亂真的釣魚,輕易竊取使用最新iOS版本的iCloud密碼。
據該研究人員表示,他在1月份向蘋果公司報告了該漏洞,但迄今為止蘋果拒絕提供漏洞修復。這個概念驗證性攻擊利用了iOS系統中默認的電子郵件程序Mail.app的一個漏洞,該應用自從4月初iOS8.3版本發佈以來,就未能從接收郵件消息中適當剔除含有潛在危險的HTML代碼。而正是利用這個漏洞,POC(黑客圈中指觀點驗證程序)從遠程服務器下載一個表單,該表單看起來與合法的iCloud登錄提示窗口完全相同。用户將很容易陷入“陷阱”之中。
在週三發生攻擊後的幾個小時,安全研究人員曾收到一個“釣魚提示”。
為了讓這個對話框看起來看起來更加真實,攻擊代碼使用了一個自動對焦特性,以確保一旦用户點擊了“OK”按鈕,那麼該對話框域將自動隱藏。然而,在發給用户的郵件中包含的HTML標籤<meta http-equiv=refresh>則已悄悄觸發了該漏洞。
目前,蘋果方面並未做出任何迴應。而安全研究人員的建議是,不要輸入任何帳號密碼,而是直接按下取消按鈕。因為如果是正常的提示框,在按下OK或取消按鈕之前,它不允許用户進行任何其他操作。而偽造的密碼提示並不是模態的,所以如果在顯示密碼提示框時按下home鍵設備回到了主屏幕,那麼這就表明這個密碼提示是不可信的。
iCloud密碼被竊取的後果,在經歷了美國好萊塢“豔照門”事件,相信大家已經畏懼。所以,看好你家密碼,別讓自己成為下一個豔照門。
本文轉載請註明來源:http://www.leiphone.com/news/201506/FBvVx7tibIzQcFGH.html
資料來源:雷鋒網
作者/編輯:金紅
請按此登錄後留言。未成為會員? 立即註冊