Apple iOS漏洞可利用与网络钓鱼电子邮件窃取用户密码

安全专家演示如何利用Apple IOS系统中的漏洞,以窃取使用网络钓鱼电子邮件的用户密码。

一种影响苹果的新漏洞’可以通过黑客利用的iOS来收集 user passwords by using a single email.

Jan Soucek( @jansoucek. ),Ernst和Young的法医专家开发了一个工具,iOS 8.3 mail.app注入套件,可用于创建恶意iCloud密码网络钓鱼电子邮件。专家解释说,他利用影响Apple iOS的未分割的错误。

“Ernst和Young Forensic Bod Jan Soucek已创建一个能够生成Slick Icloud密码网络钓鱼电子邮件的工具,他说利用影响数百万Apple用户的未咬合的错误。” states  登记册 .

iOS 8.3 mail.app注入套件利用Apple操作系统的漏洞’允许和攻击者显示逼真弹出的原生电子邮件客户端。

Soucek试图联系Apple,但他有’自1月以来收到了Cupertino的任何回复。

“2015年1月,我偶然发现了ios的一个虫子’S邮件客户端,导致电子邮件中的HTML标记未被忽略,” Soucek .

Soucek发现Apple忽略了传入电子邮件中的密钥代码线:<元HTTP-EQUIV =刷新>这意味着当受害者在iPhone,iPad或iPod上打开它时,攻击者可以在电子邮件中远程加载任意的HTML内容。

 苹果手机

“此错误允许加载远程HTML内容,替换原始电子邮件消息的内容。在此UIWebView中禁用了JavaScript,但仍然可以构建功能密码‘collector’使用简单的HTML和CSS。”研究人员说。

“它在雷达下提交了1月份的雷达中,但在8.1.2之后的任何iOS更新中都没有交付修复程序。”

攻击情景

攻击者发送类似于它的恶意电子邮件’来自合法来源,但它提出了一种用于窃取受害者的现实投入形式’s password.

这里 ’s a video PoC:


 

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请