Vulnerabilitate iCloud, descoperită de un expert în securitate

Articol postat de:

icloudbroken-642x321

Datele de autentificare pentru accesarea conturilor iCloud pot fi interceptate, susține un expert în securitate.

În susţinerea afirmaţiilor, acesta a dezvăluit inclusiv o mostră din codul folosit pentru atac, expunând o vulnerabilitate descoperită în aplicaţia Mail livrată de Apple pe dispozitivele cu sistem iOS. Prezent începând cu versiunea iOS 8.3 lansată în luna aprilie, bug-ul face ca anumite tipuri de cod HTML periculos să nu fie îndepărtate corespunzător din corpul mesajelor email, scrie Go4IT.

În atacul făcut cu scop demonstrativ, vulnerabilitatea a fost exploatată pentru a substitui ecranul de login pentru contul iCloud cu un formular identic, accesat de pe un server aflat sub controlul atacatorului. Pentru a păcăli şi mai bine vigilenţa utilizatorilor suspicioşi, exploit-ul poate fi modificat încât dialogul de login să fie afişat o singură dată, la prima accesare a mesajului email compromiţător.

Pentru a imita ecranul login furnizat de Apple, codul folosit pentru iniţierea atacului accesează o funcţie numită autofocus, ascunzând ecranul de login falsificat după folosirea butonului OK. Tot ce este de făcut pentru activarea vulnerabilităţii este să inserăm tag-ul HTML <meta http-equiv=refresh> în corpul mesajului email, direcţionat către falsul ecranul de login găzduit pe un server conectat la internet.

Pe lângă phishing-ul datelor de login, exploit-ul poate permite unui eventual atacator să afle când a fost vizionat mesajul respectiv şi de la ce adresă IP.

Potrivit CEO-ului Errata Security, Rob Graham, vulnerabilitatea descoperită este cu atât mai gravă ţinând cont de faptul că utilizatorii de iOS sunt obişnuiţi să întâlnească ecrane de login în momente neaşteptate, având puţine motive să suspecteze o tentativă de phishing.

Pentru şti cu certitudine dacă ecranul de login este sau nu autentic este de ajuns să folosim butonul Home. În majoritatea cazurilor, ecranele de login autentice nu permit utilizatorilor să acceseze alte funcţii ale dispozitivului, decât folosind mai întâi butoanele OK sau Cancel. Astfel, dacă folosirea butonului Home nu duce la ascunderea ecranului de login, probabil că putem introduce datele de login în condiţii de siguranţă.

Sursa foto: appadvice.com
Sursa articolului: www.securityportal.ro


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>