Sicherheit Fehler verlässt iCloud Passwörter anfällig für Phishing

Bei einem Proof-of-Concept-Angriff hat ein Forscher gezeigt wie eine Sicherheitslücke in der iOS-Mail-Client problemlos genutzt werden kann, um Apple-Nutzer hereinzulegen Übergabe ihre iCloud-Kennwörter.

Der Fehler, die in der standardmäßigen e-Mail-Programm in der neuesten Version von iOS für iPhone oder iPad gefunden werden kann, nicht Streifen aus potenziell bösartigen Code wie z. B. die < meta="" http-equiv="refresh"> HTML-Tag in e-Mail-Nachrichten. Dadurch könnte eine clevere Phisher, HTML, ersetzen den ursprünglichen Inhalt der e-Mail aus der Ferne zu laden.

Die Forscher, die den Fehler entdeckt hat gezeigt, wie es durch das Herunterladen einer Forms aus einem remote-Server, der sieht genauso aus wie ein legit iCloud-Login Prompt ausgenutzt werden könnte. Wenn solch eine e-Mail geöffnet wurde und ein Opfer sein oder ihr Kennwort eingeben, könnte ein Hacker einfach die Details stehlen.

Hier ist eine video-Demonstration:

Apples OS hat eine Tendenz zu zufällig sowieso iCloud anmelden Eingabeaufforderungen angezeigt, und der Exploit kann programmiert werden, um nur einmal nach einem Passwort gefragt, um nicht Verdacht zu wecken. Also, ist es nicht furchtbar schwer vorstellbar, eine ganze Reihe von ahnungslosen Apple-Nutzer, in dieser Art von Phishing-Schema erwischt.

Der Sicherheitsexperte sagt, dass er zuerst den Fehler an Apple zurück im Januar berichtet. Sechs Monate und keine Anzeichen für ein Update später beschloss er, seinen Exploit online zu veröffentlichen. Die Strategie scheint sich auszuzahlen: vor einigen Tagen sagte Apple Beamten Ars Technica, dass das Unternehmen jetzt an einer Lösung für eine kommende Software-Update funktioniert.

In der Zwischenzeit bist du ein Apple-Benutzer, der Prüfung in zwei Schritten aktiviert hat nicht, wäre dies eine tolle Zeit, dies zu tun.