蘋果移動(dòng)電郵存漏洞 可導(dǎo)致用戶iCloud密碼泄露

作者: 馮店徇  2015-06-12 09:46 [查查吧]:uabf.cn

   一位安全方面的研究員表示,蘋果移動(dòng)電郵應(yīng)用上存在一處漏洞,可以被用來欺騙用戶提供他們的iCloud密碼。來自布拉格的賈恩·蘇西科(Jan Soucek)公布了一段概念驗(yàn)證代碼,顯示了如何向某人發(fā)送了一封電郵,并用其中的HTML代碼偽裝成類似iCloud登錄彈窗的過程。隨后,蘇西科便收到一封包含iCloud密碼的電郵。

  該漏洞允許遠(yuǎn)程HTML內(nèi)容通過電郵被載入,進(jìn)而替換掉電郵本身的內(nèi)容。蘇西科表示,他可以據(jù)此通過HTML和CSS編寫一個(gè)收集密碼的程序。他同時(shí)公開了一段演示視頻。

  他于今年1月發(fā)現(xiàn)該漏洞,并告知了蘋果,但該漏洞在iOS 8.1.2中仍然存在。因此,他決定公開漏洞細(xì)節(jié)。蘋果未對(duì)此置評(píng)。

  蘇西科表示,通過只顯示一次虛假iCloud認(rèn)證窗口的做法,顯著降低了人們的懷疑程度。

  去年,在多起知名人士數(shù)據(jù)泄露事件發(fā)生后,蘋果顯著提升了iCloud賬號(hào)的安全級(jí)別。黑客通過猜測(cè)用戶名和密碼的方式對(duì)某些公眾人物的賬號(hào)內(nèi)容進(jìn)行了訪問。

  當(dāng)然,不排除上述事件是由于釣魚攻擊所導(dǎo)致,這讓蘇西科感到更加憂心忡忡。

  通過iCloud證書,一個(gè)賬號(hào)的全部內(nèi)容都可以被下載至全新設(shè)備,包括照片、文本、通話記錄、地址薄、日程以及其他信息。

  就算iCloud證書被非法獲取,蘋果仍然有其他防范措施?,F(xiàn)在,公司通過二元認(rèn)證法對(duì)用戶進(jìn)行校驗(yàn),同時(shí)在使用全新設(shè)備訪問賬戶或密碼被更改時(shí)向用戶發(fā)送通知。

        以上就是關(guān)于蘋果移動(dòng)電郵存漏洞 可導(dǎo)致用戶iCloud密碼泄露的介紹,希望對(duì)您有所幫助!

?
    發(fā)表評(píng)論

    醫(yī)療健康