yutian0 2015-06-14
近日一位安全研究人员公布了一份攻击代码。他表示,黑客利用这份代码可以轻松盗取使用最新版 iOS 系统用户的 iCloud 账户密码。
这份代码已经被验证有效,它利用了 iOS 原生邮件应用 Mail 的漏洞。自从今年四月 iOS 8.3 发布以来,Mail 应用就一直不能适当屏蔽掉新邮件消息中含有潜在危险的 HTML 代码。被公布的攻击代码就是利用这个漏洞:它可以从远程服务器下载一份看起来同 iCloud 原版登录提示一模一样的表格。每当用户打开这个藏有陷阱的信息,假冒的 iCloud 登录界面就会出现。
GitHub 用户 jansoucek 在一份自述文件中说:「远程 HTML 内容可以利用这个 bug 进行加载,然后替换掉原来的邮件信息。」我们无法在这个 UIWebView 中使用 JavaScript,但黑客依旧可以利用简单的 HTML 和 CSS 建立一个可以工作的密码「收集器」。
为了避免用户产生怀疑,黑客可以对这个漏洞进行编程。这样一来他们就可以让密码提示界面只出现一次,而不是每次用户浏览恶意信息时都出现。为了模仿苹果原本用来验证用户身份的登录提示界面,这份攻击代码使用了自动对焦功能在用户点击「OK」按钮之后隐藏对话区域。
只要用户收到了含有「meta http-equiv=refresh」这段 HTML 代码标签的邮件,黑客就可以利用联网计算机远程制造一个假冒的登陆提示界面。接着,黑客会在 Mail 应用的内置浏览器中嵌入恶意邮件中的图片,以便欺骗用户输入自己的密码。除了用来盗取密码之外,黑客还可以利用这个漏洞发送「」指向标。这样他发件人就知 道哪些收件人已经阅读了恶意邮件,何时阅读了恶意邮件,从什么网络地址浏览了恶意邮件。
罗伯·格雷汉姆(Rob Graham)是 Errata Security 公司 CEO,一直以来都使用 IPhone。他认为这个漏洞非常严重,因为正常的 iOS 系统也会多次显示密码登录界面,这增加了用户的受害几率。在他看来,用户遇到要求输入密码提示界面时最好的办法是点击取消,而不是输入任何登录信息。大部 分时候,用户取消密码输入后不会带来什么严重后果,最糟糕的情况也就是系统再次弹出提示要求用户输入密码。如果用户真的需要输入密码,那么他们要确保这时 候自己没有打开任何邮件。
更有经验的 iOS 用户还会利用其他方法防范风险:遇到输入密码的登录提示时,用户可以点击 Home 按钮。iOS 系统的登录提示属于「情态模式」,也就是说用户只能点击确认或者取消按钮,无法进行其他操作。假冒的登录提示界面则不是这样,用户点击 Home 按钮后系统会回到主屏幕。
发现这个漏洞的研究人员表示,自己在一月份就向苹果提交了这个漏洞,但是该公司一直没有对其进行修复。苹果在一份邮件声明中表示:「据我们所 知,还没有任何用户受到这个漏洞的影响。我们正在努力修复,会在即将到来的 iOS 系统更新中解决这个问题。」另外,该公司还强烈建议用户采用双重身份验证。