近日安全研究人员发布了一份漏洞利用代码。这份代码表明,攻击者可以通过足以以假乱真的钓鱼,轻易窃取使用最新iOS版本的iCloud密码。

漏洞原理

这个概念验证性攻击利用了iOS系统中默认的电子邮件程序Mail.app的一个漏洞。自从4月初iOS8.3版本发布以来,该应用就未能从接收邮件消息中适当剔除含有潜在危险的HTML代码。这个POC正是利用了这一漏洞,它从远程服务器下载一个表单,该表单看起来与合法的iCloud登录提示窗口完全相同。每当用户查看包含“陷阱”的消息时,这个伪造的登录提示窗都可以自动显示。

GitHub上一个用户名为jansoucek的人在readme文件中写入了如下说明:

“这个漏洞允许远程加载HTML内容,并可以替换原始电子邮件消息的内容。虽然这个UIWebView 中禁用了JavaScript,但仍有可能通过简单的HTML和CSS创建一个功能密码收集器。”

为了降低它的可疑性,攻击者可以编程实现仅仅弹出一次的密码窗口。为了使其看起来更加真实,攻击代码使用了一个自动对焦特性,以确保一旦用户点击了“OK”按钮,那么该对话框域将自动隐藏。然而,为了触发该漏洞,所需要做的仅仅是使发送给用户的邮件中包含HTML标签。

该漏洞除了可以用来钓鱼苹果用户的密码,还可以用来发送“提示信息”,以此使得邮件发送者知道谁查看了该邮件、何时以什么IP地址查看了该邮件。

视频演示

演示视频点击这里观看。

安全建议

作为一个iPhone的长期用户,这可能是一个严重的漏洞:因为iOS系统在意想不到的时候显示登录提示并不少见。

安全研究人员曾在周三收到过这样一个“钓鱼提示”,而该攻击发生的时间仅仅是了解到该漏洞之前的几个小时。

安全研究人员建议用户遇到这样的密码提示时,用户最好不要输入任何帐号密码,而是直接按下取消按钮。通过这样做,大多数情况下用户将不会面临什么不良后果,最糟糕的情况也仅仅是再次弹出提示而已。值得一提的是,当用户向密码提示框中输入密码前,首先应该确保此时没有查看电子邮件。

此外,更有经验的用户能够通过按下home键来检测这个假提示。合法的提示是“模态对话框”,这意味着在按下OK或取消按钮之前,它不允许用户进行任何其他操作。相比之下,伪造的密码提示并不是模态的,所以如果在显示密码提示框时按下home键设备回到了主屏幕,那么这就表明这个密码提示是不可信的。

苹果官方目前无回应

根据该研究人员的消息,他在1月份向苹果公司报告了该漏洞,但迄今为止苹果拒绝提供漏洞修复,并且苹果尚未针对该漏洞给予任何评论,但在iOS8.4中将有望看到对该漏洞的修复。

作者:JackFree

来源:51CTO

iOS最新漏洞可实现“以假乱真”的iCloud密码钓鱼相关推荐

  1. 阿里在美申请区块链专利;Win10 最新漏洞被发现;MongoDB 4.2 发布​ | 极客头条...

    快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...

  2. HTML5最新漏洞:用户硬盘或被垃圾数据塞满

    北京时间3月4日早间消息,HTML5编程语言的一个最新漏洞今天被发现,它允许网站利用数GB垃圾数据对用户展开轰炸,甚至会在短时间内将硬盘塞满.多款主流浏览器均会受此影响. 一位名叫菲罗斯·阿伯克哈迪杰 ...

  3. iOS 最新App提交上架流程及部分问题的解决方案2016.12.21,感谢原博主!!!

    iOS 最新App提交上架流程及部分问题的解决方案2016.12.21,感谢原博主!!! 参考文章: (1)iOS 最新App提交上架流程及部分问题的解决方案2016.12.21,感谢原博主!!! ( ...

  4. iOS 最新App图标和启动画面尺寸(补充-2)

                          联系人:石虎 QQ:1224614774  昵称: 嗡嘛呢叭咪哄                                QQ群:807236138  ...

  5. 帝国CMS2018年最新漏洞获取管理员密码

    帝国CMS最新漏洞获取管理员密码 "帝国"CMS是一套著名的PHP整站程序,是国内使用人数最多的PHPCMS程序之一.令人无奈的是,"帝国"虽然把势力壮大了,却 ...

  6. 关于ios最新系统[我是ios13.3]开发摇一摇的时候无法触发devicemotion的原因

    关于ios最新系统[我是ios13.3]开发摇一摇的时候无法触发devicemotion的原因 允许摇一摇代码 具体原因 如果你只是想实现摇一摇,可以直接点击目录到你对应想找的地方~ 最近公司年会需要 ...

  7. Ewebeditor最新漏洞和漏洞指数

    Ewebeditor最新漏洞和漏洞指数[收集] 来源:转载作者:佚名时间:2009-06-03 00:04:26 下面文章收集转载于网络:) 算是比較全面的ewebeditor编辑器的漏洞收集,如今的 ...

  8. 图片在安卓可正常下载预览,但是ios最新版本不行

    背景 截图上的的上传图片后面有个下载图标,点击可以打开图片,IOS最新版本打开页面是乱码,但是安卓可以正常打开,并且同一个组件(其他表单)ios是可以打开的 同一个申请单,不同模块,同一种组件,ios ...

  9. MSF利用最新IE最新漏洞

    通过 backtrack 漏洞发布官网 了解最新漏洞漏洞描述:漏洞存在iepeers.dll组件中,影响ie6 7 影响系统:sp0-3.ie 6 7使用命令 show exploits use ex ...

最新文章

  1. 深圳杯---深圳市生活垃圾处理社会总成本分析
  2. 有限域f9的特征是多少_宽频域谐波的潜在威胁欠缺全面考虑,现有标准需进一步优化...
  3. [ASP.NET MVC3.0]Contact Manager 之迭代开发 一
  4. Struts1.x框架基本原理
  5. 毕业设计出现的一个严重错误----文件不能相互引用
  6. windows任务计划程序 坑
  7. 前端学习(3059):vue+element今日头条管理-优化文章状态
  8. spring创建webservice项目
  9. 苹果笔记本怎么找文件夹_苹果笔记本电脑回收价格是否合理怎么看
  10. Hyper-v网络配置
  11. CCF201609试题
  12. python 图片对比文件夹_Python挑选文件夹里宽大于300图片的方法
  13. vs2017 出现“文件中的类都不能进行设计,因此未能为该文件显示设计器”问题处理...
  14. 弹性盒怎么实现左边图片右边文字_【粉丝问题】如何用ps修改照片中的文字数字?...
  15. 基于c语言图书管理系统设计与开发,基于C语言图书管理系统设计与实现.doc
  16. dah计算机原理,卢伟计算机原理themicrocomputerprinciplech3.pptx
  17. 独立样本t检验及其在SPSS中的实现
  18. 华为Mate 20 Pro更新EMUI9.1系统,系统流畅度稳步提高
  19. 从蓄水池问题思考异步FIFO深度设计
  20. EPICS简单的设备支持程序

热门文章

  1. 为了看看程序员常用什么工具软件,我“黑”进了技术部的收藏夹
  2. 【编程题】网易游戏社招编程题题解
  3. 简要聊聊我对大小公司的主观感受
  4. 英语单词常用词根(三)
  5. 电子签名并加水印处理
  6. python输出10以内的素数,并写出合数的因子
  7. Linux物理服务器迁移到vmware虚拟化
  8. 教你用大功率路由器实现覆盖3平方公里wix公众账号吸粉神器
  9. 2020年中国放疗设备行业发展现状及竞争格局分析,放疗人数逐年递增,行业空间大「图」
  10. G - Godsend CodeForces - 841B