Haupt Software Ein Trojaner zum Phishing von iCloud-Passwörtern lauert in einem iOS Mail-Bug
Software

Ein Trojaner zum Phishing von iCloud-Passwörtern lauert in einem iOS Mail-Bug

Ein Forscher stellt fest, dass Mail in iOS HTML nicht richtig filtert, sodass ein Popup-Menü angezeigt wird, das die iCloud-Anmeldung stark nachahmt.VonGlenn Fleischmann,Leitender Mitarbeiter, 11. Juni 2015 3:59 PDT

Wenn wir selbstgefällig werden, werden wir schlecht in Bezug auf die Sicherheit. Umso mehr werden wir durch etwas irritierendes veranlasst, das nur durch Eingabe eines Passworts abgewiesen werden kann wieder , desto wahrscheinlicher ist es, dass wir nicht darauf achten, was gefragt wird. Ich spreche natürlich von Apples scheinbar zufälligen und manchmal häufigen iCloud-Login-Popup-Nachrichten in iOS.



Bei der HTML-Verarbeitung in Mail in iOS wurde eine Art Schwachstelle entdeckt, die unseren Wunsch nutzt, eine Nachricht zu ignorieren, indem wir ihr einfach geben, was sie will. Es ist kein Exploit, der die Fernsteuerung oder den Systemzugriff ermöglicht. Vielmehr handelt es sich um eine Form des Trojanischen Pferdes, das Phishing betreibt und die Unvorsichtigen und Vorsichtigen gleichermaßen dazu verleitet, an einem unrechtmäßigen Ort Zugangsdaten einzugeben, die an anderer Stelle verwendet werden können.

Die Person, die die Sicherheitsanfälligkeit veröffentlicht, Jan Souček, sagt, dass sie im Januar an Apple gemeldet wurde (obwohl er einen Fehler eingereicht hat, anstatt die von Apple zu verwenden E-Mail mit Sicherheitsberichten ). Und ein Video war gepostet im Januar das zeigt das problem. Souček bestätigte via Twitter, dass das Sicherheitsteam von Apple seit Januar über das Problem Bescheid weiß.





ios9 Zwei-Faktor-Anmeldebildschirm

Die Verwendung der zweistufigen Authentifizierung würde Sie vor diesem Fehler schützen, und Apple plant eine noch robustere Unterstützung in iOS 9.

Was ist eine nicht drahtlose Nummer?

Ein Apple-Sprecher sagte: Uns sind keine Kunden bekannt, die von diesem Machbarkeitsnachweis betroffen sind, arbeiten jedoch an einer Lösung für ein bevorstehendes Software-Update. Apple hat das bestätigt Bestätigung in zwei Schritten für eine Apple ID würde diesen speziellen Phishing-Angriff, wie auch andere, abschrecken, indem er von einem Angreifer verlangt, ein zweites Element zu verwenden, auf das er aus der Ferne keinen Zugriff erhalten kann. (Apple plant eine robustere, native Unterstützung der Zwei-Faktor-Authentifizierung in iOS 9.)



Stoppen Sie das Popover

Nachdem ich iOS wiederhergestellt oder aktualisiert habe und manchmal nachdem ich es neu gestartet habe, werde ich von scheinbar gefälschten Anmeldedialogen für iCloud, iMessage und andere Dienste überflutet. Dies liegt zum Teil daran, dass ich zwei Apple-IDs habe, die mit Apple Cloud-Sachen verknüpft sind, da das Unternehmen es nicht schafft, uns Konten und Käufe zusammenzuführen. Bei der iCloud-Synchronisierung wird eine ältere Apple-ID verwendet, bei iTunes-Käufen eine neuere.

iPhone 6 Hülle mit Kreditkartenfach

Manchmal muss ich sechs- bis zehnmal dasselbe Passwort für dasselbe Konto eingeben, bevor mich die Dialoge nicht mehr stören. Das ist schlechtes Systemdesign, und ich hoffe, dass Apple mit iOS 9 daran arbeitet. Anmeldeinformationen für dieselben Ressourcen sollten über kurze Zeiträume gebündelt und nicht wiederholt angefordert werden, auch wenn ein zweiter Faktor erforderlich ist.

Indem Apple uns unnötig oft dasselbe zeigt, trainiert Apple uns, auswendig zu reagieren.

Der von Souček entwickelte und vor einigen Tagen in einem Code-Repository veröffentlichte Phishing-Angriff, und zuerst berichtet über von Dan Goodin bei Ars Technica am Mittwoch, verfolgt einen cleveren Ansatz, um einen Fehler in Mail auszunutzen. (Goodin berichtete, dass diese Schwachstelle im April in iOS 8.3 aufgetreten ist, aber das Video stammt aus dem Januar, als der Entwickler bestätigte, dass er einen Fehlerbericht eingereicht hat.)

Die Mail-App kann HTML rendern, filtert aber – wie alle E-Mail-Apps, die Rich-Nachrichten anzeigen – einige Arten von Tags und Inhalten heraus, die in einer E-Mail-Nachricht entweder irrelevant sind oder für schändliche Zwecke verwendet werden könnten. Souček verwendet ein häufig verwendetes Tag, das in den Header-Teil einer HTML-Seite oder eines Templates eingefügt wird, um einen Benutzer entweder sofort beim Laden oder nach einer definierten Verzögerung auf eine andere Seite umzuleiten. Das sehen Sie, wenn eine Seite sagt: Diese Ressource wurde verschoben oder ein anderer Jazz, und bitte warten Sie X Sekunden.

Mail kann die Aktualisierungsanforderung nicht herausfiltern, wodurch die bösartige HTML-E-Mail eine Seite laden kann, auf der die gesamte HTML-Palette verfügbar ist. E-Mail-Clients, die nicht angreifbar sind, darunter Webmail und native, verarbeiten das erneute Laden nicht. Diejenigen, die dies tun, laden etwas, das genau wie ein modaler iCloud-Anmeldedialog aussieht, der mit der E-Mail-Adresse vorausgefüllt ist, an die die Phishing-Nachricht gesendet wurde.

Während Mail Formulare innerhalb von Nachrichten parst und zulässt, wodurch dieser Phishing-Angriff ohne erneutes Laden möglich wird, wirkt es eher plausibel, wenn die E-Mail-Nachricht geladen und dann ein Overlay mit einem vorgeblichen Popup-Dialog angezeigt wird. Wir sind es gewohnt, dieses Verhalten zu sehen.

Um diese Kombination von Faktoren auszunutzen, müssen Sie eine Nachricht anzeigen, die diese Technik verwendet. Mit der Spam-Filterung von iCloud, die wahrscheinlich schnell gemeinsame Faktoren (wie die Header-Tag-Informationen) erfassen würde, könnten nur wenige durchkommen.

wie lang ist ein iphone 12 pro

Lies die Schilder

Ein aufmerksamer Benutzer würde Folgendes bemerken, sollte eine solche Meldung erscheinen:

  • Die Nachricht wird nur im E-Mail-Bereich der Mail-App angezeigt.

  • Durch Scrollen der E-Mail wird der Dialog gescrollt.

  • Die Tastatur wird nicht automatisch angezeigt, obwohl der Fokus (wo der Cursor positioniert ist) auf das Formularkennwortfeld verschoben wird.

    wie groß ist ein iphone 8 plus in zoll
  • Wenn Sie auf das Feld tippen und dann die Tastatur angezeigt wird, erscheint das Wort Go zum Senden, wie ein Formular.

  • Durch Drücken von Home wird der Dialog geschlossen, was bei einer echten Login-Nachricht nicht der Fall ist.

Liebe Leserin, lieber Leser, Sie mögen sich selbst ein Lächeln ins Gesicht zaubern und denken, ich würde mich davon nie täuschen lassen. Aber dann würde ich Sie bitten, in Ihrem Portemonnaie oder Portemonnaie nach der Spielkarte zu suchen, die ich hineingelegt habe! Ist die Acht der Vereine? Während Sie gesucht haben, habe ich Ihre reguläre Sicherheit durch Instant Security von Folger ersetzt.

Mein Unsinn ist nur zu sagen, dass wir, selbst ich selbstgefällig, denken, dass wir zu kultiviert sind, um auf diese Weise zu phishing, und dann versuche ich mich daran zu erinnern, wann ich das letzte Mal einen iCloud-Anmeldedialog gesehen habe – und habe ich ihn einfach ausgefüllt? ohne nach Anzeichen von Betrug zu suchen? (Ich habe die Bestätigung in zwei Schritten aktiviert, daher ist es für die meisten Zwecke umsonst, mich zu phishing; die meisten iCloud-Benutzer tun dies nicht.)

Indem Apple uns unnötig oft dasselbe zeigt, trainiert Apple uns, auswendig zu reagieren. Die Reduzierung von Sicherheitsaufforderungen durch Konsolidierung der Notwendigkeit – wie die Entnahme einer Blutprobe von einem Patienten für ein Dutzend Tests anstelle von einem Dutzend Injektionen – verbessert die Aufmerksamkeit des Benutzers.

Dieser Fehler sollte leicht behoben werden. Ich hoffe, Apple wird es in iOS 8 stecken, bevor es diese Version in eine Sackgasse bringt. Aber es sollte auch überdenken, wie es legitimerweise die Zustimmung von uns einholt. Phishing funktioniert nur, wenn es etwas ähnelt, auf das wir nicht achten können.