3
苹果在刚刚向开发者发布的第四个 beta 版本的 iOS 8.4中,解决了短信关机漏洞。不过,新的漏洞又出现了,这次小心你的iCloud密码。
据外媒arstechnica报道,安全研究人员近日发布了一份漏洞利用代码。这份代码表明,攻击者可以通过足以以假乱真的钓鱼,轻易窃取使用最新iOS版本的iCloud密码。
据该研究人员表示,他在1月份向苹果公司报告了该漏洞,但迄今为止苹果拒绝提供漏洞修复。这个概念验证性攻击利用了iOS系统中默认的电子邮件程序Mail.app的一个漏洞,该应用自从4月初iOS8.3版本发布以来,就未能从接收邮件消息中适当剔除含有潜在危险的HTML代码。而正是利用这个漏洞,POC(黑客圈中指观点验证程序)从远程服务器下载一个表单,该表单看起来与合法的iCloud登录提示窗口完全相同。用户将很容易陷入“陷阱”之中。
在周三发生攻击的几个小时后,安全研究人员曾收到一个“钓鱼提示”。
为了让这个对话框看起来更加真实,攻击代码使用了一个自动对焦特性,以确保一旦用户点击了“OK”按钮,那么该对话框域将自动隐藏。然而,在发给用户的邮件中包含的HTML标签<meta http-equiv=refresh>则已悄悄触发了该漏洞。
目前,苹果方面并未做出任何回应。而安全研究人员的建议是,不要输入任何帐号密码,而是直接按下取消按钮。因为如果是正常的提示框,在按下OK或取消按钮之前,它不允许用户进行任何其他操作。而伪造的密码提示并不是模态的,所以如果在显示密码提示框时按下home键设备回到了主屏幕,那么这就表明这个密码提示是不可信的。
iCloud密码被窃取的后果,在经历了美国好莱坞“艳照门”事件,相信大家已经畏惧。所以,看好你家密码,别让自己成为下一个艳照门。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。