电脑自学网站:近日安全研究人员发布了一份漏洞利用代码。这份代码表明,攻击者可以通过足以以假乱真的钓鱼,轻易窃取使用最新iOS版本的iCloud密码。
 
漏洞原理
 
这种概念验证攻击利用了iOS中默认电子邮件程序Mail.app中的一个漏洞。 自4月初发布iOS 8.3以来,该应用程序未能从接收电子邮件中正确删除潜在危险的HTML代码。 该POC通过从看起来与合法iCloud登录提示窗口完全相同的远程服务器下载表单来利用此漏洞。 每当用户查看包含“陷阱”的消息时,就会自动显示该假登录提示窗口。
 
GitHub上一个用户名为jansoucek的人在readme文件中写入了如下说明:
 
“这个漏洞允许远程加载HTML内容,并可以替换原始电子邮件消息的内容。虽然这个UIWebView 中禁用了JavaScript,但仍有可能通过简单的HTML和CSS创建一个功能密码收集器。”
 
为了降低它的可疑性,攻击者可以编程实现仅仅弹出一次的密码窗口。为了使其看起来更加真实,攻击代码使用了一个自动对焦特性,以确保一旦用户点击了“OK”按钮,那么该对话框域将自动隐藏。然而,为了触发该漏洞,所需要做的仅仅是使发送给用户的邮件中包含HTML标签。
 
该漏洞除了可以用来钓鱼苹果用户的密码,还可以用来发送“提示信息”,以此使得邮件发送者知道谁查看了该邮件、何时以什么IP地址查看了该邮件。
 
安全建议
 
作为iPhone的长期用户,这可能是一个严重的漏洞:iOS系统在出现意外情况时显示登录提示并不少见。
 
安全研究人员在星期三收到了这样的“网络钓鱼小贴士”,而攻击仅在知道此漏洞之前几个小时就发生了。
 
安全研究人员建议,当用户遇到这样的密码提示时,建议用户不要输入任何帐户密码,而应直接按“取消”按钮。这样,在大多数情况下,用户将不会面临任何不良后果,而最坏的情况只是再次出现弹出提示。值得一提的是,在将密码输入密码提示框中之前,用户应首先确保此时未选中电子邮件。
 
另外,更有经验的用户可以通过按下主屏幕按钮来检测到此虚假提醒。法律提示是一个“模式对话框”,这意味着在按下“确定”或“取消”按钮之前,用户不允许执行其他任何操作。相反,伪造的密码提示不是模态的,因此,如果在显示密码提示框时设备通过按主屏幕按钮返回到主屏幕,则表明该密码提示不受信任。