, Источник: ArsTechnica, Securitylab

Уязвимость почтового клиента в iOS позволяет легко украсть пароль пользователя

Современные гаджеты предлагают пользователям широкие возможности по их применению, а ряд функций направлен на то,чтобы сделать жизнь владельца современного гаджета проще. Именно с такой идеей создается большинство облачных сервисов, которые могут хранить разлиную информацию о пользователе. Однако чем больше пользователи начинают хранить в таких средах подробностей о себе, тем привлекательнее для киберпреступников становится получение доступа к учетной записи пользователей. И в случае с невнимательным пользователем это оказалось сделать не так уж и сложно благодаря багу в iOS.

Установленное по умолчанию приложение «Почта» содержит в себе ошибку, которая позволяет злоумышленнику отображать всплывающие уведомления, очень похожие на системные окна для ввода параметров учетной записи Apple ID. Созданный набор инструментов позволяет не только выводить это окно при открытии письма с необходимым кодом, но и сделать это единожды, чтобы не вызывать подозрений.

«Уязвимость позволяет удаленно загружать на целевое устройство HTML-контент, заменяя им содержимое исходного сообщения электронной почты», — рассказывает пользователь GitHub с ником jansoucek (Глава компании Ernst and Young Жан Соучек), который нашел данную уязвимость. Использовать JavaScript при баге нельзя, однако возможность создания программы, к примеру, перехватывающей пароли, все еще остается. По заверению специалиста, о найденной уязвимости он сообщил в Apple еще в январе, однако даже в iOS 8.3, которая стала доступна в апреле, проблема никуда не исчезла. 

Конечно, внимательный и опытный пользователь заподозрит неладное из-за привязанности поддельного системного окна к телу письма, а также возможности взаимодействовать с iOS не реагируя на окно, однако большая часть владельцев «умных» гаджетов навряд ли заметит какие-либо отличия. Кроме того, владельцы девайсов Apple могут даже не подозревать о возможности столкновения с какими-либо взломами в системе, так как даже из App Store удаляется антивирусное ПО, чтобы не вводить пользователей «в заблуждение». 

Это не единственный за последнее время случай успешного использования бага в iOS. Ранее удалось найти уязвимость, приводившую к бесконечному циклу перезагрузки iOS-девайсов, а также стало известно о сообщении со специальной комбинацией символов, в том числе текста на арабском, которое приводило к перезагрузке iOS-гаджета. Последняя ошибка уже закрыта в iOS 8.4, которая станет доступна пользователям, как ожидается, 30 июня, вместе с запуском музыкального стримингового сервиса Apple Music, который в России будет стоить, предположительно, сильно дешевле, чем в США.

Хотите получать первыми новости Apple? Жмите на кнопку подписки
Хиты продаж и новинки
Самые лучшие цены на смартфоны
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас