Iskorištavanje pošte u iOS -u moglo bi dozvoliti lovcima da ugrabe vaše vjerodajnice za Apple ID
Fotografija: Jim Merithew/Cult of Mac
Istraživači sigurnosti iOS -a Jan Souček otkrio je novu grešku u iOS -ovom klijentu pošte koja bi mogla navesti korisnike da slučajno daju napadačima AppleID i lozinku.
Eksploatacija aplikacije Mail otkrivena je početkom 2015., a Appleovi inženjeri brzo su obaviješteni o njezinom postojanju, ali popravak greške nije objavljen ni u jednom ažuriranja nakon iOS 8.1.2. Prema Součeku, greška dopušta učitavanje udaljenog HTML sadržaja, što omogućuje izgradnju sakupljača lozinki koji izgleda baš poput prijave na iCloud potaknuti.
Evo videozapisa greške na djelu:
U GitHub repo s pojedinostima o svom otkriću, Souček kaže da je greška podnesena pod Radar #19479280 još u siječnju. Soucek je iskoristio iskorištavanje za stvaranje alata sposobnog za generiranje iCloud lozinki za krađu identiteta, ali su ga phisheri mogli prilagoditi i za krađu lozinki s drugih usluga.
Obratili smo se Appleu radi komentara o tome radi li se na popravku ili ne, ali zasad nismo primili komentar.
Izvor: Registrirajte se