iOS -e -postutnyttelse kan la phishers snappe Apple ID -legitimasjonen din
Foto: Jim Merithew/Cult of Mac
iOS -sikkerhetsforskere Jan Souček har oppdaget en ny feil i e -postklienten til iOS som kan lure brukere til å tilfeldigvis gi angriperne sitt AppleID og passord.
Utnyttelsen av Mail -appen ble oppdaget i begynnelsen av 2015, og Apples ingeniører ble raskt varslet om at den eksisterte, men en løsning for feilen er ikke utgitt i noen av oppdateringer etter iOS 8.1.2. Ifølge Souček tillater feilen å laste ned eksternt HTML-innhold, noe som gjør det mulig å bygge en passordsamler som ser ut som en iCloud-pålogging spør.
Her er en video av feilen i bruk:
I en GitHub repo Souček sier at feilen ble arkivert under Radar #19479280 tilbake i januar. Soucek brukte utnyttelsen til å lage et verktøy som er i stand til å generere phishing -e -postmeldinger for iCloud -passord, men det kan tilpasses av phishere til å pille passord fra andre tjenester også.
Vi kontaktet Apple for å få en kommentar om hvorvidt en løsning er under arbeid, men har ikke mottatt en kommentar for øyeblikket.
Kilde: Registreringen
