fbpx

Каталог статей

Каталог статей для размещения статей информационного характера

Мобільні телефони та гаджети

Остерігайтеся запитів на вхід до iCloud: Нова вразливість безпеки дозволяє хакерам красти вашу інформацію

Остерігайтеся запитів на вхід до iCloud: Нова вразливість безпеки дозволяє хакерам красти вашу інформацію

Мобільна операційна система iOS від Apple має репутацію більш захищеної, ніж Android, але останнім часом, схоже, все більше хакерів націлюються на користувачів iPhone та iPad. Користувач GitHub на ім’я Jansouceket ще в січні виявив чергову вразливість iOS і повідомив про неї в Apple. Доброзичливий хакер продемонстрував, як за допомогою коду атаки в додатку Mail можна викрасти логіни користувачів iCloud та іншу конфіденційну інформацію.

Судячи з усього, з моменту виходу iOS 8.3 на початку квітня, додаток “Пошта” перестав видаляти потенційно небезпечний HTML-код з електронних листів, які отримують користувачі. Один тег вказує додатку “Пошта” завантажити і виконати код віддалено. Потім команда відкриває вікно форми, яке імітує вигляд вікна запиту на вхід до iCloud. Якщо користувач входить в систему, хакер може викрасти ім’я користувача та пароль його облікового запису iCloud. Маючи ці дві частини інформації, хакер може викрасти іншу особисту інформацію, що зберігається в iCloud.

Підтвердження концепції: атака на Mail.app в iOS 8.3

“Ця помилка дозволяє завантажувати віддалений HTML-контент, замінюючи вміст оригінального повідомлення електронної пошти”, – написав Янсоучек. “JavaScript в цьому UIWebView відключений, але все одно можна створити функціональний “колектор” паролів, використовуючи простий HTML і CSS [каскадні таблиці стилів]”.

Що ще гірше, вразливість розміщує в додатку “Пошта” файл cookie для відстеження, щоб код не виконував одну і ту ж команду кожного разу, коли в додатку відкривається інфікований лист. Таким чином, у користувача не виникає підозр щодо повідомлення і він не помічає зв’язку між конкретним листом та запитом на вхід до iCloud. Крім того, хакер може у будь-який момент змінити код, щоб отримати доступ до іншої інформації.

На щастя, існує хитрість, яку користувачі iOS можуть застосувати, щоб захистити себе від злому. Хоча шкідливий код досить добре імітує вікно входу в iCloud, він не ідеальний. По-перше, у вікні запитується як ваш Apple ID, так і пароль, в той час як iCloud зазвичай запитує тільки пароль і вже відображає ваше ім’я користувача. По-друге, вікно не є модальним, тому фон не зникає, а екран не є статичним, коли з’являється запит. Крім того, підказки клавіатури залишаються активованими, чого ніколи не відбувається, коли ви отримуєте підказку iCloud на iOS.

Звичайно, ці відмінності тонкі, і багато хто їх не помітить. Apple ще не відреагувала, але, сподіваємося, патч вийде незабаром. До тих пір, наступного разу, коли ви побачите запит на вхід в iCloud, перевірте ці підказки, щоб переконатися, що вас не зламали.

Рекомендації редакції

  • Підступне оновлення iOS змусило мене знову захопитися iPhone 14 Pro
  • У 2023 році Apple повинна виправити свій ганебний ліміт в 5 ГБ в iCloud
  • Фотографічні стилі – найбільш недооцінена функція камери iPhone 14, яку ви не використовуєте
  • Забудьте про AirPods – ось чому я використовую навушники Samsung зі своїм iPhone
  • Новий постійно включений дисплей iOS 16.2 змусив мене зненавидіти свій iPhone 14 Pro

Source: digitaltrends.com

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *