2345技術員聯盟

iOS最新漏洞可實現“以假亂真”的iCloud密碼釣魚

  • 來源:http://www.visaqiaoliang.com/ 原創
  • 時間:2015-06-14
  • 閱讀:
  • 本文標簽:iosiCloud密碼釣魚

近日安全研究人員發布了一份漏洞利用代碼。這份代碼表明,攻擊者可以通過足以以假亂真的釣魚,輕易竊取使用最新iOS版本的iCloud密碼。


漏洞原理


這個概念驗證性攻擊利用了iOS系統中默認的電子郵件程序Mail.app的一個漏洞。自從4月初iOS8.3版本發布以來,該應用就未能從接收郵件消息中適當剔除含有潛在危險的HTML代碼。這個POC正是利用了這一漏洞,它從遠程服務器下載一個表單,該表單看起來與合法的iCloud登錄提示窗口完全相同。每當用戶查看包含“陷阱”的消息時,這個偽造的登錄提示窗都可以自動顯示。


GitHub上一個用戶名為jansoucek的人在readme文件中寫入了如下說明:


“這個漏洞允許遠程加載HTML內容,并可以替換原始電子郵件消息的內容。雖然這個UIWebView 中禁用了JavaScript,但仍有可能通過簡單的HTML和CSS創建一個功能密碼收集器。”


為了降低它的可疑性,攻擊者可以編程實現僅僅彈出一次的密碼窗口。為了使其看起來更加真實,攻擊代碼使用了一個自動對焦特性,以確保一旦用戶點擊了“OK”按鈕,那么該對話框域將自動隱藏。然而,為了觸發該漏洞,所需要做的僅僅是使發送給用戶的郵件中包含HTML標簽。


該漏洞除了可以用來釣魚蘋果用戶的密碼,還可以用來發送“提示信息”,以此使得郵件發送者知道誰查看了該郵件、何時以什么IP地址查看了該郵件。


安全建議


作為一個iPhone的長期用戶,這可能是一個嚴重的漏洞:因為iOS系統在意想不到的時候顯示登錄提示并不少見。


安全研究人員曾在周三收到過這樣一個“釣魚提示”,而該攻擊發生的時間僅僅是了解到該漏洞之前的幾個小時。


安全研究人員建議用戶遇到這樣的密碼提示時,用戶最好不要輸入任何帳號密碼,而是直接按下取消按鈕。通過這樣做,大多數情況下用戶將不會面臨什么不良后果,最糟糕的情況也僅僅是再次彈出提示而已。值得一提的是,當用戶向密碼提示框中輸入密碼前,首先應該確保此時沒有查看電子郵件。


此外,更有經驗的用戶能夠通過按下home鍵來檢測這個假提示。合法的提示是“模態對話框”,這意味著在按下OK或取消按鈕之前,它不允許用戶進行任何其他操作。相比之下,偽造的密碼提示并不是模態的,所以如果在顯示密碼提示框時按下home鍵設備回到了主屏幕,那么這就表明這個密碼提示是不可信的。


相關文章

本文來自電腦技術網www.visaqiaoliang.com),轉載本文請注明來源.
本文鏈接:http://www.visaqiaoliang.com/content/security/hacker/20150614/6162.html
熱點排行
無覓相關文章插件,快速提升流量 日日摸夜夜添夜夜添破第一次_日本午夜福利视频一区二区三区_日韩精品一区二区在线视频