Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
11 июня 2015, Источник: ArsTechnica, Securitylab

Уязвимость почтового клиента в iOS позволяет легко украсть пароль пользователя

Современные гаджеты предлагают пользователям широкие возможности по их применению, а ряд функций направлен на то,чтобы сделать жизнь владельца современного гаджета проще. Именно с такой идеей создается большинство облачных сервисов, которые могут хранить разлиную информацию о пользователе. Однако чем больше пользователи начинают хранить в таких средах подробностей о себе, тем привлекательнее для киберпреступников становится получение доступа к учетной записи пользователей. И в случае с невнимательным пользователем это оказалось сделать не так уж и сложно благодаря багу в iOS.

Установленное по умолчанию приложение «Почта» содержит в себе ошибку, которая позволяет злоумышленнику отображать всплывающие уведомления, очень похожие на системные окна для ввода параметров учетной записи Apple ID. Созданный набор инструментов позволяет не только выводить это окно при открытии письма с необходимым кодом, но и сделать это единожды, чтобы не вызывать подозрений.

«Уязвимость позволяет удаленно загружать на целевое устройство HTML-контент, заменяя им содержимое исходного сообщения электронной почты», — рассказывает пользователь GitHub с ником jansoucek (Глава компании Ernst and Young Жан Соучек), который нашел данную уязвимость. Использовать JavaScript при баге нельзя, однако возможность создания программы, к примеру, перехватывающей пароли, все еще остается. По заверению специалиста, о найденной уязвимости он сообщил в Apple еще в январе, однако даже в iOS 8.3, которая стала доступна в апреле, проблема никуда не исчезла. 

Конечно, внимательный и опытный пользователь заподозрит неладное из-за привязанности поддельного системного окна к телу письма, а также возможности взаимодействовать с iOS не реагируя на окно, однако большая часть владельцев «умных» гаджетов навряд ли заметит какие-либо отличия. Кроме того, владельцы девайсов Apple могут даже не подозревать о возможности столкновения с какими-либо взломами в системе, так как даже из App Store удаляется антивирусное ПО, чтобы не вводить пользователей «в заблуждение». 

Это не единственный за последнее время случай успешного использования бага в iOS. Ранее удалось найти уязвимость, приводившую к бесконечному циклу перезагрузки iOS-девайсов, а также стало известно о сообщении со специальной комбинацией символов, в том числе текста на арабском, которое приводило к перезагрузке iOS-гаджета. Последняя ошибка уже закрыта в iOS 8.4, которая станет доступна пользователям, как ожидается, 30 июня, вместе с запуском музыкального стримингового сервиса Apple Music, который в России будет стоить, предположительно, сильно дешевле, чем в США.

Loewe One
Легендарные телевизоры по новой цене
Комментарии
8
Fallen Angel
Не спрашивает оно логина если это запрос от системы, хоть это можно было по человечески сделать?:)
Оно должно спросить только пароль, а логин уже забит будет ...
СсылкаПожаловаться
Джон Паркинсон
Прежде всего, следует избегать вводить важные пароли, когда их у вас запрашивают ни с того ни с сего. То есть если пароль к iCloud запрашивается при совершении покупки приложения в App Store, например - это по делу, если пароль в интернет-банкинге запрашивается на web-сайте вашего банка (и вы уверены, что это настоящий web-сайт вашего банка, а не похожая копия - следите за адресом в адресной строке!) - это по делу. А если к примеру, ни с того ни с сего приходит email с просьбой подтвердить ваши данные от вашего банка, Apple или Google - это почти наверняка письмо от собирателя паролей на самом деле. Самый надежный способ защиты - двухфакторная аутентификация.
СсылкаПожаловаться
Джон Паркинсон
В таких случаях некоторые андроидоводы говорят, что только лох может на это попасться. Это, конечно, правда, если считать условно половину пользователей лохами. Но проблема существует. Никаких проблем создавать popup-окна для ввода пароля, сами по себе не отличающиеся от оригинальных. И они могут всплывать при открытии сообщения и другими почтовыми клиентами, не только штатным Mail. И могут всплывать просто когда вы серфите интернет и просто когда браузер открыт. И не только на iOS, но и на любой платформе, включая Windows на компе. Сам их видел неоднократно.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Samsung Galaxy A5 (2016)
от17 700руб.
Apple iPhone 7 32GB
от43 600руб.
Apple iPhone 6S 32GB
от35 740руб.
Apple iPhone SE 64GB
от31 000руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Samsung Galaxy S7 32GB
от32 500руб.
Xiaomi Redmi 3S Pro 32GB
от9 131руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Meizu M3 Note 16GB
от9 490руб.
Apple iPhone 7 128GB
от51 500руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru