電腦自學網站:近日安全研究人員發布了一份漏洞利用代碼。這份代碼表明,攻擊者可以通過足以以假亂真的釣魚,輕易竊取使用最新iOS版本的iCloud密碼。
 
漏洞原理
 
這種概念驗證攻擊利用了iOS中默認電子郵件程序Mail.app中的一個漏洞。 自4月初發布iOS 8.3以來,該應用程序未能從接收電子郵件中正確刪除潛在危險的HTML代碼。 該POC通過從看起來與合法iCloud登錄提示窗口完全相同的遠程服務器下載表單來利用此漏洞。 每當用戶查看包含“陷阱”的消息時,就會自動顯示該假登錄提示窗口。
 
GitHub上一個用戶名為jansoucek的人在readme文件中寫入了如下說明:
 
“這個漏洞允許遠程加載HTML內容,并可以替換原始電子郵件消息的內容。雖然這個UIWebView 中禁用了JavaScript,但仍有可能通過簡單的HTML和CSS創建一個功能密碼收集器。”
 
為了降低它的可疑性,攻擊者可以編程實現僅僅彈出一次的密碼窗口。為了使其看起來更加真實,攻擊代碼使用了一個自動對焦特性,以確保一旦用戶點擊了“OK”按鈕,那么該對話框域將自動隱藏。然而,為了觸發該漏洞,所需要做的僅僅是使發送給用戶的郵件中包含HTML標簽。
 
該漏洞除了可以用來釣魚蘋果用戶的密碼,還可以用來發送“提示信息”,以此使得郵件發送者知道誰查看了該郵件、何時以什么IP地址查看了該郵件。
 
安全建議
 
作為iPhone的長期用戶,這可能是一個嚴重的漏洞:iOS系統在出現意外情況時顯示登錄提示并不少見。
 
安全研究人員在星期三收到了這樣的“網絡釣魚小貼士”,而攻擊僅在知道此漏洞之前幾個小時就發生了。
 
安全研究人員建議,當用戶遇到這樣的密碼提示時,建議用戶不要輸入任何帳戶密碼,而應直接按“取消”按鈕。這樣,在大多數情況下,用戶將不會面臨任何不良后果,而最壞的情況只是再次出現彈出提示。值得一提的是,在將密碼輸入密碼提示框中之前,用戶應首先確保此時未選中電子郵件。
 
另外,更有經驗的用戶可以通過按下主屏幕按鈕來檢測到此虛假提醒。法律提示是一個“模式對話框”,這意味著在按下“確定”或“取消”按鈕之前,用戶不允許執行其他任何操作。相反,偽造的密碼提示不是模態的,因此,如果在顯示密碼提示框時設備通過按主屏幕按鈕返回到主屏幕,則表明該密碼提示不受信任。