Ευπάθεια στην εφαρμογή Mail του iOS 8.3

Μια στον e-mail client του iOS επιτρέπει σε έναν εισβολέα να αποστείλει μηνύματα που μπορούν να ξεγελάσουν τους αποδέκτες να δώσουν τα διαπιστευτήρια που χρησιμοποιούν στην Apple ενώ βρίσκονται σε κακόβουλες ιστοσελίδες.mail ios

Η ευπάθεια έχει ήδη αναφερθεί στην Apple από τις 15 Ιανουαρίου, αλλά ο Jan Soucek, ο ερευνητής που την ανακάλυψε, αναφέρει ότι δεν έχει επιδιορθωθεί σε καμία από τις εκδόσεις iOS που κυκλοφόρησαν μετά την 8.1.2.

Δημοσιεύτηκε το PoC

To λειτουργικό για κινητές συσκευές της Apple, iOS κυκλοφορεί σήμερα στη σταθερή έκδοση 8.3, ενώ η 8.4 είναι σε στάδιο ανάπτυξης beta και είναι διαθέσιμη μόνο στους εγγεγραμμένους προγραμματιστές.

Εδώ και πέντε μήνες η Apple δεν έχει προβεί σε οποιαδήποτε ενέργεια για την επίλυση του ζητήματος, και έτσι ο ερευνητής αποφάσισε να δημοσιοποιήσει τα συμπεράσματά του και την απόδειξη της ευπάθειας (PoC), με την ελπίδα ότι αυτό θα αναγκάσει την εταιρεία επιταχύνει την επιδιόρθωση.

Η ευπάθεια

Ο ερευνητής Soucek διαπίστωσε ότι το HTML tag δεν αγνοείται από την E-mail, κάτι το οποίο μπορεί να αξιοποιηθεί για να αντικαταστήσει το αρχικό περιεχόμενο σε ένα ηλεκτρονικού υ με τα HTML tags από μια απομακρυσμένη τοποθεσία που βρίσκεται υπό τον έλεγχο του εισβολέα.

Στο βίντεο που δημοσίευσε για να αποδείξει την επιτυχία του exploit, δείχνει πως η αρχική σελίδα της Apple αναδύεται μέσα από κακόβουλα μηνύματα.

Ένα μήνυμα ηλεκτρονικού ταχυδρομείου που πλαστογραφήσει την σελίδα σύνδεσης μπορεί να αποσταλεί χωρίς να εμφανίζει περιεχόμενο από μια διαφορετική , χρησιμοποιώντας το χαρακτηριστικό “http-equiv” που παρέχει ευελιξία και επιτρέπει στην ψεύτικη σελίδα σύνδεσης να τοποθετηθεί στο σωστό πλαίσιο.

Ο Soucek αναφέρει ότι η “ευπάθεια μπορεί να χρησιμοποιηθεί για οτιδήποτε που απαιτεί HTML tags που δεν υποστηρίζονται από το Mail.app.”

Ένας τρόπος προστασίας από μια τέτοια επίθεση είναι να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων στο Apple ID σας.

Επίδειξη μιας επίθεσης (PoC)

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).