Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
Рассылка
Получайте главные новости дня от Hi-Tech Mail.Ru
, Источник: ArsTechnica, Securitylab

Уязвимость почтового клиента в iOS позволяет легко украсть пароль пользователя

Современные гаджеты предлагают пользователям широкие возможности по их применению, а ряд функций направлен на то,чтобы сделать жизнь владельца современного гаджета проще. Именно с такой идеей создается большинство облачных сервисов, которые могут хранить разлиную информацию о пользователе. Однако чем больше пользователи начинают хранить в таких средах подробностей о себе, тем привлекательнее для киберпреступников становится получение доступа к учетной записи пользователей. И в случае с невнимательным пользователем это оказалось сделать не так уж и сложно благодаря багу в iOS.

Установленное по умолчанию приложение «Почта» содержит в себе ошибку, которая позволяет злоумышленнику отображать всплывающие уведомления, очень похожие на системные окна для ввода параметров учетной записи Apple ID. Созданный набор инструментов позволяет не только выводить это окно при открытии письма с необходимым кодом, но и сделать это единожды, чтобы не вызывать подозрений.

«Уязвимость позволяет удаленно загружать на целевое устройство HTML-контент, заменяя им содержимое исходного сообщения электронной почты», — рассказывает пользователь GitHub с ником jansoucek (Глава компании Ernst and Young Жан Соучек), который нашел данную уязвимость. Использовать JavaScript при баге нельзя, однако возможность создания программы, к примеру, перехватывающей пароли, все еще остается. По заверению специалиста, о найденной уязвимости он сообщил в Apple еще в январе, однако даже в iOS 8.3, которая стала доступна в апреле, проблема никуда не исчезла. 

Конечно, внимательный и опытный пользователь заподозрит неладное из-за привязанности поддельного системного окна к телу письма, а также возможности взаимодействовать с iOS не реагируя на окно, однако большая часть владельцев «умных» гаджетов навряд ли заметит какие-либо отличия. Кроме того, владельцы девайсов Apple могут даже не подозревать о возможности столкновения с какими-либо взломами в системе, так как даже из App Store удаляется антивирусное ПО, чтобы не вводить пользователей «в заблуждение». 

Это не единственный за последнее время случай успешного использования бага в iOS. Ранее удалось найти уязвимость, приводившую к бесконечному циклу перезагрузки iOS-девайсов, а также стало известно о сообщении со специальной комбинацией символов, в том числе текста на арабском, которое приводило к перезагрузке iOS-гаджета. Последняя ошибка уже закрыта в iOS 8.4, которая станет доступна пользователям, как ожидается, 30 июня, вместе с запуском музыкального стримингового сервиса Apple Music, который в России будет стоить, предположительно, сильно дешевле, чем в США.

Хотите получать первыми новости Apple? Жмите на кнопку подписки
Подписаться
Отписаться
Обзоры новинок
Подробности о главных премьерах
Вы подписались на рассылку.Отменить
Подписаться на рассылку
Комментарии
8
Fallen Angel
Не спрашивает оно логина если это запрос от системы, хоть это можно было по человечески сделать?:)
Оно должно спросить только пароль, а логин уже забит будет ...
СсылкаПожаловаться
Джон Паркинсон
Прежде всего, следует избегать вводить важные пароли, когда их у вас запрашивают ни с того ни с сего. То есть если пароль к iCloud запрашивается при совершении покупки приложения в App Store, например - это по делу, если пароль в интернет-банкинге запрашивается на web-сайте вашего банка (и вы уверены, что это настоящий web-сайт вашего банка, а не похожая копия - следите за адресом в адресной строке!) - это по делу. А если к примеру, ни с того ни с сего приходит email с просьбой подтвердить ваши данные от вашего банка, Apple или Google - это почти наверняка письмо от собирателя паролей на самом деле. Самый надежный способ защиты - двухфакторная аутентификация.
СсылкаПожаловаться
Джон Паркинсон
В таких случаях некоторые андроидоводы говорят, что только лох может на это попасться. Это, конечно, правда, если считать условно половину пользователей лохами. Но проблема существует. Никаких проблем создавать popup-окна для ввода пароля, сами по себе не отличающиеся от оригинальных. И они могут всплывать при открытии сообщения и другими почтовыми клиентами, не только штатным Mail. И могут всплывать просто когда вы серфите интернет и просто когда браузер открыт. И не только на iOS, но и на любой платформе, включая Windows на компе. Сам их видел неоднократно.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru