刚打败死亡代码 iOS 8又有漏洞
(图/取自网路)
Apple刚刚在iOS 8.4 Beta 4中修復了「死亡代码」的 bug,现在又有新的bug曝出。据悉,iOS 8最新曝出的漏洞基于邮件,该漏洞可通过弹出类似iCloud式的登录窗口窃取用户密码。而一旦密码失窃,个人隐私甚至财产安全将不保。
根据外媒 The Register 报导,资安专家 Jan Soucek 在今年 1 月时,发现 iOS 邮件 App 上的漏洞,骇客可以透过这个漏洞,发送远端 HTML 内容到邮件中(取代既有邮件内容),透过让用户重新输入 iCloud 帐号与密码来登入收件匣,窃取帐户资讯。
安全专家Jan Soucek指出,该bug会透过弹出类似iCloud式的登录窗口来试图窃取用户的密码,黑客通过发送邮件信息给目标用户,并远程载入HTML内 容,同时弹出和iCloud验证类似的窗口,如果用户输入了Apple ID和密码,账户就会被盗,信息也就会泄露。
Soucek表示他在一月份就发现了这个bug,并将其报告给了Apple,但Apple方面一直未对此问题表示回应。只有安装 cookies 到 iOS 装置的用户,有可能受到这样的骇客攻击,他进一步说明。于是 Soucek 就将他的发现通过网络进行公开,并发佈了一个名为「Mail.app 的注入包」,希望能够引起用户的重视和Apple的注意。
虽然登入 iCloud 可能需要 2 步骤认证,但是透过获得邮件与密码,骇客也有可能获得 Twitter 或者 Facebook 的登入资讯。随着系统的升级,原本封闭并且相对安全的iOS频繁曝出各种严重漏洞,不知这是否与Apple开源化的发展方向有关係。目前,Apple暂时没有对这个bug做出回应。
如果你不是 iOS 内建邮件 App 的使用者,则不需担心,但下一次收到再次输入帐户与密码的跳出视窗时,或许得三思而后行。
【101创业大小事/整理报导】
-------------------------------------------------------
文章内容若有侵权疑虑,请来信告知。
客服信箱:[email protected]