iOS 驚現大 BUG,用户 iCloud 密碼可能泄露
*來源:arstechnica,TECH2IPO/創見編輯後發佈
近日一位安全研究人員公佈了一份攻擊代碼。他表示,黑客利用這份代碼可以輕鬆盜取使用最新版 iOS 系統用户的 iCloud 賬户密碼。
這份代碼已經被驗證有效,它利用了 iOS 原生郵件應用 Mail 的漏洞。自從今年四月 iOS 8.3 發佈以來,Mail 應用就一直不能適當屏蔽掉新郵件消息中含有潛在危險的 HTML 代碼。被公佈的攻擊代碼就是利用這個漏洞:它可以從遠程服務器下載一份看起來同 iCloud 原版登錄提示一模一樣的表格。每當用户打開這個藏有陷阱的信息,假冒的 iCloud 登錄界面就會出現。
GitHub 用户 jansoucek 在一份自述文件中説:「遠程 HTML 內容可以利用這個 bug 進行加載,然後替換掉原來的郵件信息。」我們無法在這個 UIWebView 中使用 JavaScript,但黑客依舊可以利用簡單的 HTML 和 CSS 建立一個可以工作的密碼「收集器」。
為了避免用户產生懷疑,黑客可以對這個漏洞進行編程。這樣一來他們就可以讓密碼提示界面只出現一次,而不是每次用户瀏覽惡意信息時都出現。為了模仿蘋果原本用來驗證用户身份的登錄提示界面,這份攻擊代碼使用了自動對焦功能在用户點擊「OK」按鈕之後隱藏對話區域。
只要用户收到了含有「meta http-equiv=refresh」這段 HTML 代碼標籤的郵件,黑客就可以利用聯網計算機遠程製造一個假冒的登陸提示界面。接着,黑客會在 Mail 應用的內置瀏覽器中嵌入惡意郵件中的圖片,以便欺騙用户輸入自己的密碼。除了用來盜取密碼之外,黑客還可以利用這個漏洞發送「」指向標。這樣他發件人就知道哪些收件人已經閲讀了惡意郵件,何時閲讀了惡意郵件,從什麼網絡地址瀏覽了惡意郵件。
羅伯•格雷漢姆(Rob Graham)是 Errata Security 公司 CEO,一直以來都使用 IPhone。他認為這個漏洞非常嚴重,因為正常的 iOS 系統也會多次顯示密碼登錄界面,這增加了用户的受害機率。在他看來,用户遇到要求輸入密碼提示界面時最好的辦法是點擊取消,而不是輸入任何登錄信息。大部分時候,用户取消密碼輸入後不會帶來什麼嚴重後果,最糟糕的情況也就是系統再次彈出提示要求用户輸入密碼。如果用户真的需要輸入密碼,那麼他們要確保這時候自己沒有打開任何郵件。
更有經驗的 iOS 用户還會利用其他方法防範風險:遇到輸入密碼的登錄提示時,用户可以點擊 Home 按鈕。iOS 系統的登錄提示屬於「情態模式」,也就是説用户只能點擊確認或者取消按鈕,無法進行其他操作。假冒的登錄提示界面則不是這樣,用户點擊 Home 按鈕後系統會回到主屏幕。
發現這個漏洞的研究人員表示,自己在一月份就向蘋果提交了這個漏洞,但是該公司一直沒有對其進行修復。蘋果在一份郵件聲明中表示:「據我們所知,還沒有任何用户受到這個漏洞的影響。我們正在努力修復,會在即將到來的 iOS 系統更新中解決這個問題。」另外,該公司還強烈建議用户採用雙重身份驗證。
資料來源:TECH2IPO