iOS最新漏洞可实现“以假乱真”的iCloud密码钓鱼
近日安全研究人员发布了一份漏洞利用代码。这份代码表明,攻击者可以通过足以以假乱真的钓鱼,轻易窃取使用最新iOS版本的iCloud密码。
漏洞原理
这个概念验证性攻击利用了iOS系统中默认的电子邮件程序Mail.app的一个漏洞。自从4月初iOS8.3版本发布以来,该应用就未能从接收邮件消息中适当剔除含有潜在危险的HTML代码。这个POC正是利用了这一漏洞,它从远程服务器下载一个表单,该表单看起来与合法的iCloud登录提示窗口完全相同。每当用户查看包含“陷阱”的消息时,这个伪造的登录提示窗都可以自动显示。
GitHub上一个用户名为jansoucek的人在readme文件中写入了如下说明:
“这个漏洞允许远程加载HTML内容,并可以替换原始电子邮件消息的内容。虽然这个UIWebView 中禁用了JavaScript,但仍有可能通过简单的HTML和CSS创建一个功能密码收集器。”
为了降低它的可疑性,攻击者可以编程实现仅仅弹出一次的密码窗口。为了使其看起来更加真实,攻击代码使用了一个自动对焦特性,以确保一旦用户点击了“OK”按钮,那么该对话框域将自动隐藏。然而,为了触发该漏洞,所需要做的仅仅是使发送给用户的邮件中包含HTML标签。
该漏洞除了可以用来钓鱼苹果用户的密码,还可以用来发送“提示信息”,以此使得邮件发送者知道谁查看了该邮件、何时以什么IP地址查看了该邮件。
视频演示
演示视频点击这里观看。
安全建议
作为一个iPhone的长期用户,这可能是一个严重的漏洞:因为iOS系统在意想不到的时候显示登录提示并不少见。
安全研究人员曾在周三收到过这样一个“钓鱼提示”,而该攻击发生的时间仅仅是了解到该漏洞之前的几个小时。
安全研究人员建议用户遇到这样的密码提示时,用户最好不要输入任何帐号密码,而是直接按下取消按钮。通过这样做,大多数情况下用户将不会面临什么不良后果,最糟糕的情况也仅仅是再次弹出提示而已。值得一提的是,当用户向密码提示框中输入密码前,首先应该确保此时没有查看电子邮件。
此外,更有经验的用户能够通过按下home键来检测这个假提示。合法的提示是“模态对话框”,这意味着在按下OK或取消按钮之前,它不允许用户进行任何其他操作。相比之下,伪造的密码提示并不是模态的,所以如果在显示密码提示框时按下home键设备回到了主屏幕,那么这就表明这个密码提示是不可信的。
苹果官方目前无回应
根据该研究人员的消息,他在1月份向苹果公司报告了该漏洞,但迄今为止苹果拒绝提供漏洞修复,并且苹果尚未针对该漏洞给予任何评论,但在iOS8.4中将有望看到对该漏洞的修复。
作者:JackFree
来源:51CTO
iOS最新漏洞可实现“以假乱真”的iCloud密码钓鱼相关推荐
- 阿里在美申请区块链专利;Win10 最新漏洞被发现;MongoDB 4.2 发布 | 极客头条...
快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...
- HTML5最新漏洞:用户硬盘或被垃圾数据塞满
北京时间3月4日早间消息,HTML5编程语言的一个最新漏洞今天被发现,它允许网站利用数GB垃圾数据对用户展开轰炸,甚至会在短时间内将硬盘塞满.多款主流浏览器均会受此影响. 一位名叫菲罗斯·阿伯克哈迪杰 ...
- iOS 最新App提交上架流程及部分问题的解决方案2016.12.21,感谢原博主!!!
iOS 最新App提交上架流程及部分问题的解决方案2016.12.21,感谢原博主!!! 参考文章: (1)iOS 最新App提交上架流程及部分问题的解决方案2016.12.21,感谢原博主!!! ( ...
- iOS 最新App图标和启动画面尺寸(补充-2)
联系人:石虎 QQ:1224614774 昵称: 嗡嘛呢叭咪哄 QQ群:807236138 ...
- 帝国CMS2018年最新漏洞获取管理员密码
帝国CMS最新漏洞获取管理员密码 "帝国"CMS是一套著名的PHP整站程序,是国内使用人数最多的PHPCMS程序之一.令人无奈的是,"帝国"虽然把势力壮大了,却 ...
- 关于ios最新系统[我是ios13.3]开发摇一摇的时候无法触发devicemotion的原因
关于ios最新系统[我是ios13.3]开发摇一摇的时候无法触发devicemotion的原因 允许摇一摇代码 具体原因 如果你只是想实现摇一摇,可以直接点击目录到你对应想找的地方~ 最近公司年会需要 ...
- Ewebeditor最新漏洞和漏洞指数
Ewebeditor最新漏洞和漏洞指数[收集] 来源:转载作者:佚名时间:2009-06-03 00:04:26 下面文章收集转载于网络:) 算是比較全面的ewebeditor编辑器的漏洞收集,如今的 ...
- 图片在安卓可正常下载预览,但是ios最新版本不行
背景 截图上的的上传图片后面有个下载图标,点击可以打开图片,IOS最新版本打开页面是乱码,但是安卓可以正常打开,并且同一个组件(其他表单)ios是可以打开的 同一个申请单,不同模块,同一种组件,ios ...
- MSF利用最新IE最新漏洞
通过 backtrack 漏洞发布官网 了解最新漏洞漏洞描述:漏洞存在iepeers.dll组件中,影响ie6 7 影响系统:sp0-3.ie 6 7使用命令 show exploits use ex ...
最新文章
- 深圳杯---深圳市生活垃圾处理社会总成本分析
- 有限域f9的特征是多少_宽频域谐波的潜在威胁欠缺全面考虑,现有标准需进一步优化...
- [ASP.NET MVC3.0]Contact Manager 之迭代开发 一
- Struts1.x框架基本原理
- 毕业设计出现的一个严重错误----文件不能相互引用
- windows任务计划程序 坑
- 前端学习(3059):vue+element今日头条管理-优化文章状态
- spring创建webservice项目
- 苹果笔记本怎么找文件夹_苹果笔记本电脑回收价格是否合理怎么看
- Hyper-v网络配置
- CCF201609试题
- python 图片对比文件夹_Python挑选文件夹里宽大于300图片的方法
- vs2017 出现“文件中的类都不能进行设计,因此未能为该文件显示设计器”问题处理...
- 弹性盒怎么实现左边图片右边文字_【粉丝问题】如何用ps修改照片中的文字数字?...
- 基于c语言图书管理系统设计与开发,基于C语言图书管理系统设计与实现.doc
- dah计算机原理,卢伟计算机原理themicrocomputerprinciplech3.pptx
- 独立样本t检验及其在SPSS中的实现
- 华为Mate 20 Pro更新EMUI9.1系统,系统流畅度稳步提高
- 从蓄水池问题思考异步FIFO深度设计
- EPICS简单的设备支持程序