Εργαλείο phishing iOS 8.3 Mail.app inject kit

Οι ερευνητές ασφαλείας Ernst & Young μαζί με τον Jan Soucek που ανακάλυψε την ευπάθεια, ανέπτυξαν ένα εργαλείο που είναι ικανό να παράγει iCloud password phishing emails πραγματοποιώντας exploit σε ένα unpatched bug που επηρεάζει εκατομμύρια χρήστες της Apple.phishing

Οι ερευνητές ανέπτυξαν το iOS 8.3 Mail.app inject kit που κάνει exploit σε ένα σφάλμα της ηλεκτρονικού ταχυδρομείου της Apple. Ουσιαστικά δημιουργεί ένα ρεαλιστικό pop-up που φαίνεται ακριβώς το ίδιο με της Apple.

Ο Soucek (jansoucek) αναφέρει παράλληλα ότι το Cupertino δεν απάντησε όταν προσπάθησε να τους ενημερώσει για το bug τον Ιανουάριο.

“Αυτό το σφάλμα επιτρέπει σε απομακρυσμένο περιεχόμενο HTML να φορτωθεί, αντικαθιστώντας το περιεχόμενο του αρχικού μηνύματος ηλεκτρονικού ταχυδρομείου. Το JavaScript είναι απενεργοποιημένο σε αυτό το UIWebView, αλλά εξακολουθεί να είναι δυνατή η ανάπτυξη μιας σελίδας που συλλέγει passwords με τη χρήση απλών HTML και CSS.”

Οι phishers χρησιμοποιώντας το δωρεάν εργαλείο που ανέπτυξαν οι ερευνητές μπορούν να τρέξουν επιτυχώς εκστρατείες phishing συλλέγοντας ότι διαπιστευτήρια επιθυμούν. Τα θύματα τους θα δουν μόνο ένα pop-up στην εφαρμογή Mail του iOS.

Ο Soucek εξασφαλίζει με το εργαλείο του ότι το http-equiv στοχεύει μόνο θύματα που επιτρέπουν την εγκατάσταση cookies στα iDevices τους.

Ο ερευνητής αναφέρει ότι είναι το καλύτερο εργαλείο phishing από τις συνηθισμένες σελίδες που έρχονται μέσα σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, γιατί στοχεύει μόνο τους χρήστες που το app τους επιτρέπει τις αλλαγές που πρέπει να γίνουν.

Δημοσίευση του εργαλείου δεν πρέπει να θεωρηθεί κακόβουλη, οι White hat ερευνητές ασφάλειας δημοσιεύουν συχνά περίπλοκα εργαλεία phishing για επαγγελματίες που τα χρησιμοποιούν μέσα σε εταιρείες, για εκπαίδευση του προσωπικού στο social engineering.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).