重大なiOSバグがiCloudのパスワード盗難を促す

ある研究者がiCloudのパスワードを盗む可能性のある、Appleのデバイスに対する攻撃の概念実証を発表しました。

概念証明は、コードリポジトリGitHubでホストされており、iOSメールクライアント内に見つかった欠陥を詳述しています。この研究者によると、このバグは、電子メールメッセージの HTMLタグのような潜在的な悪意のあるコードを取り除くものではなく、元の電子メールの内容を置き換える詐欺的な目的のために。

概念実証では、被害者に送信されたときに、iCloudのポップアップクレデンシャルプロンプトボックスと同じフォームが表示されます。電子メールが開かれ、被害者が資格情報を入力すると、ハッカーはこれらの詳細を盗む可能性があります。

年齢に関係なく、プログラミング言語を学ぶことは市場性のあるスキルです。あなたを支援するモバイルアプリがあります。

アカウントの詳細はカスタマイズされたリモートサーバーの.phpコーディングに送信され、最終的にサーバーコントローラの電子メール受信ボックスに送信されるテキストファイルに保存されます。

必要なのは、偽のプロンプトボックスコーディングをホストするサーバーと、メタタグを使用してiOSユーザーを欺く電子メールです.Appleのオペレーティングシステムでは、ログインプロンプトがランダムに表示されることがあるため、このタイプのハイエンドで洗練されたフィッシング詐欺はパッチを当てずに放置しておくと広く成功する可能性があります。

このUIWebViewではJavaScriptが無効になっていますが、シンプルなHTMLとCSSを使用して機能的なパスワード「コレクタ」を構築することは可能です。

概念実証は以下のビデオで実演されています

疑惑を避けるため、被害者がいつメッセージを見たのかを確認する検出機能が含まれているため、パスワードプロンプトが継続的に表示されることはありません。 「オートフォーカス」と呼ばれる機能は、犠牲者が正しいフィールドにパスワードを入力してOKボタンをクリックすると、ログインダイアログを非表示にするためにも使用されます。

セキュリティ研究者は、今年1月にこの欠陥を発見し、iPadsやiPhoneのiOSオペレーティングシステムの最新バージョンが脆弱であると述べている。 6ヵ月後、iOSバージョン8.1.2以降のアップデートで修正案が発行されておらず、オンラインで攻撃をリリースすることを決定しました。

Appleの広報担当者によると、「概念の証明によって影響を受ける顧客は誰も知らない」と語った。しかし、今後のソフトウェアアップデートの修正が予定されている。

:Apple WWDC 2015:新しいiOS 9の機能をすべて使いたいなら、新しいiPadを購入する時です

続きを読む:セキュリティの世界で

続きを読む:修正と不具合

400ドルの中国のスマートフォン?アップルとサムスンは安いライバルを追い払い、とにかく価格を引き上げる

耐水iPhone 7のAppleの保証は液体の損傷をカバーしていません

GravityはSMBのキャンペーンスパイ、機密データを盗み、Holaはボットネットの側面を持つ無料のVPN、調査員は盗まれたモバイル加速度計データを使用して通勤者を追跡し、新しいPoint-of-sale malwareの求人をターゲットとする小売業者、Ransomwareレスキューキット犯罪企業

iPhone 7のpricetagsが中国の販売を妨げる可能性がある

あなたのiPhone 7を充電中に有線ヘッドフォンを聴く?それはあなたにかかるだろう

セキュリティ上の懸念は、単一URLのクリックによるAndroidアプリの改ざんを許す; NetUSBの欠陥は、ルータ、IoTデバイスがハッキングに脆弱であることを犠牲にする;サムスンのセキュリティ:どのくらいの時間をかけてパッチを当てるか;エンタープライズクラウドサービスはLogjam

モビリティ; 400ドルの中国のスマートフォン?アップルとサムスンは安いライバルを追い払い、とにかく価格を引き上げる、iPhoneは、耐水iPhone 7のAppleの保証は、液体の損害をカバーしていない; iPhone、iPhone 7のpricetagsは、中国の販売を妨げる可能性があります;モビリティ; iPhone 7充電中に有線ヘッドフォンを聴く?それはあなたにかかるだろう