contadores Skip to content

En feil i iOS-app-posten lar deg stjele Apple-ID-en din

Hvis du regelmessig bruker iOS Mail-applikasjonen på iPhone eller iPad for å lese e-post, må du være forsiktig, siden Det er oppdaget en sikkerhetsfeil som gjør at hackere kan få tak i Apple ID-legitimasjonen din. Åpne en e-post dukker opp et popup-vindu som ber deg om å logge på iCloud igjen, noe du ikke bør gjøre hvis du ikke vil at Apple-ID-en din skal bli stjålet.

Det er ikke første gang feil oppdages i iOS 8. Uten å gå lenger, på begynnelsen av året ble det oppdaget en feil i kalenderprogrammet som forårsaket feil med tidssonen, men uten tvil er problemet i Mail mye mer alvorlig.

app-fail-mail-steal-id-apple-3

Sikkerhetsforsker Ene Soucek har stått for å oppdage den feilen i iOS Mail-applikasjonen. Dette tillot en angriper å utføre HTML-kode eksternt når han åpner en e-post å starte en popup som ber brukere om å legge inn Apple ID-legitimasjonen deres på nytt.

Denne feilen i Mail lar hackere få tak i Apple ID-data

Denne HTML-koden ville perfekt etterligne iCloud-påloggingsvinduet, slik at brukerne ikke ville være mistenksomme i det hele tatt når de legger inn dataene. På den annen side er det ikke uvanlig at en iOS-enhet ber brukere om å koble seg til eller identifisere seg igjen.

Mens Soucek har brukt en popup som ber om iCloud-påloggingen for eksempelet, den samme koden kan brukes til å imitere ethvert nettsted eller tjeneste. Forskeren kommenterer at første gang han oppdaget denne feilen var i iOS 8.1.1, da han laget en feilrapport med Apple.

Den gang holdt Soucek detaljene om feilen for seg selv for å gi Apple tid til å fikse denne feilen. Nå etter fem måneder har selskapet ikke gjort noe med det forskeren bestemte seg for å offentliggjøre denne koden for å få oppmerksomhet fra Apple og brukere om risikoen som denne feilen utgjør i iOS Mail-applikasjonen.

“Søksmålet ble anlagt under Radar # 19479280 i januar i fjor, men løsningen kom ikke i verken iOS 8.1.2 eller noen av følgende oppdateringer. Derfor har jeg bestemt meg for å legge ut bevis for dette kodekonseptet her. ”

Apple forventes å fikse denne Mail-feilen i fremtidige oppdateringer.

Som kommentert på 9to5Mac, Soucek har lastet opp testen om hvordan denne koden fungerer, noe som gjør at en hacker kan få tak i Apple ID-legitimasjon en bruker gjennom iOS Mail-appen på GitHub. Selv om det er sant at denne demoen tjener til å varsle folk om eksistensen av denne feilen i Mail og for å legge press på Apple for å fikse den i fremtidige oppdateringer, legger den også koden på en skuff for alle å bruke.

app-fail-mail-steal-apple-id-2

Så det eneste du må gjøre før Apple legger en løsning på dette problemet i Mail-appen er være forsiktig og ignorere all popup som ber deg om å logge på iCloud eller noe annet. Vi håper selskapet kommer i gang og fikser det snart.