(圖/取自網路)
Apple剛剛在iOS 8.4 Beta 4中修復了「死亡代碼」的 bug,現在又有新的bug曝出。據悉,iOS 8最新曝出的漏洞基於郵件,該漏洞可通過彈出類似iCloud式的登錄窗口竊取用戶密碼。而一旦密碼失竊,個人隱私甚至財產安全將不保。
根據外媒 The Register 報導,資安專家 Jan Soucek 在今年 1 月時,發現 iOS 郵件 App 上的漏洞,駭客可以透過這個漏洞,發送遠端 HTML 內容到郵件中(取代既有郵件內容),透過讓用戶重新輸入 iCloud 帳號與密碼來登入收件匣,竊取帳戶資訊。
安全專家Jan Soucek指出,該bug會透過彈出類似iCloud式的登錄窗口來試圖竊取用戶的密碼,黑客通過發送郵件信息給目標用戶,並遠程載入HTML內 容,同時彈出和iCloud驗證類似的窗口,如果用戶輸入了Apple ID和密碼,賬戶就會被盜,信息也就會泄露。
Soucek表示他在一月份就發現了這個bug,並將其報告給了Apple,但Apple方面一直未對此問題表示回應。只有安裝 cookies 到 iOS 裝置的用戶,有可能受到這樣的駭客攻擊,他進一步說明。於是 Soucek 就將他的發現通過網絡進行公開,並發佈了一個名為「Mail.app 的注入包」,希望能夠引起用戶的重視和Apple的注意。
雖然登入 iCloud 可能需要 2 步驟認證,但是透過獲得郵件與密碼,駭客也有可能獲得 Twitter 或者 Facebook 的登入資訊。隨著系統的升級,原本封閉並且相對安全的iOS頻繁曝出各種嚴重漏洞,不知這是否與Apple開源化的發展方向有關係。目前,Apple暫時沒有對這個bug做出回應。
如果你不是 iOS 內建郵件 App 的使用者,則不需擔心,但下一次收到再次輸入帳戶與密碼的跳出視窗時,或許得三思而後行。
【一零一傳媒/整理報導】
-------------------------------------------------------
文章內容若有侵權疑慮,請來信告知。
客服信箱:[email protected]
