Zneužitie pošty v systéme iOS môže phisherom umožniť získať vaše poverenia Apple ID
Foto: Jim Merithew/Kult Maca
Výskumníci zabezpečenia iOS Jan Souček objavil novú chybu v poštovom klientovi iOS, ktorá by mohla používateľov oklamať v tom, aby útočníkom omylom poskytli AppleID a heslo.
Zneužitie aplikácie Mail bolo objavené na začiatku roka 2015 a inžinieri spoločnosti Apple boli o jeho existencii rýchlo informovaní, ale oprava chyby nebola zverejnená v žiadnom z aktualizácie po iOS 8.1.2. Podľa Součka chyba umožňuje načítanie vzdialeného obsahu HTML, čo umožňuje vybudovať zberač hesiel, ktorý vyzerá rovnako ako prihlásenie do iCloudu promptné.
Tu je video o chybe v akcii:
V Repo GitHub podrobne opisujúc svoj objav, Souček hovorí, že chyba bola zaregistrovaná pod radarom #19479280 už v januári. Soucek využil toto vykorisťovanie na vytvorenie nástroja schopného generovať e -maily na neoprávnené získavanie hesla pomocou iCloud, ale phisheri ho mohli prispôsobiť tak, aby ukradol heslá aj z iných služieb.
Požiadali sme spoločnosť Apple o vyjadrenie, či sa na oprave pracuje, ale v súčasnosti sme nedostali komentár.
Zdroj: Registr