Seorang peneliti telah menerbitkan bukti-of-konsep serangan terhadap perangkat Apple yang dapat mengakibatkan pencurian password iCloud.
Bukti-konsep, host di kode repositori GitHub detail cacat, yang ditemukan dalam mail client iOS. Menurut peneliti, bug tersebut tidak menghapus kode berpotensi berbahaya seperti <meta http-equiv = refresh> tag HTML dalam pesan e-mail, yang memungkinkan konten HTML remote untuk dimuat - mengganti isi email asli untuk tujuan penipuan.
Bukti-konsep menunjukkan email yang, ketika dikirim ke korban, menampilkan bentuk identik dengan mandat pop-up kotak prompt iCloud. Jika email dibuka dan korban masukan identitasnya, seorang hacker bisa mencuri rincian ini.
Rincian akun disampaikan kepada remote server yang disesuaikan ini php coding, yang pada gilirannya menyimpan mereka ke file teks yang akhirnya dikirim ke inbox email server kontroler.
Semua yang dibutuhkan adalah server hosting palsu yang cepat kotak coding dan email yang menggunakan meta tag untuk menipu pengguna iOS - dan sebagai sistem operasi Apple diketahui kadang-kadang secara acak menampilkan prompt login, jenis high-end, canggih kampanye phishing bisa sukses secara luas jika dibiarkan unpatched.
"JavaScript dinonaktifkan di UIWebView ini, tetapi masih mungkin untuk membangun sebuah sandi fungsional" kolektor "menggunakan HTML sederhana dan CSS," kata peneliti.
Untuk menghindari menimbulkan kecurigaan, mengeksploitasi termasuk kemampuan deteksi untuk memastikan ketika korban sudah melihat pesan, dan karena itu tidak terus-menerus menampilkan password prompt. Sebuah fungsi disebut "autofocus" juga digunakan untuk menyembunyikan dialog login sekali korban telah memasuki password mereka di bidang yang benar dan mengklik tombol OK.
Peneliti keamanan mengatakan ia menemukan cacat pada bulan Januari tahun ini dan versi terbaru yang tersedia dari sistem operasi iOS pada iPad dan iPhone rentan. Enam bulan kemudian, memperbaiki belum diterbitkan di salah satu pembaruan berikut iOS versi 8.1.2, mendorong keputusan untuk melepaskan mengeksploitasi online.
Dilarang berkomentar kotor,promo link selain link blog
EmoticonEmoticon