近日安全研究人員發(fā)布了一份漏洞利用代碼。這份代碼表明，攻擊者可以通過足以以假亂真的釣魚，輕易竊取使用最新iOS版本的iCloud密碼。

漏洞原理

這個概念驗證性攻擊利用了iOS系統(tǒng)中默認(rèn)的電子郵件程序Mail.app的一個漏洞。自從4月初iOS8.3版本發(fā)布以來，該應(yīng)用就未能從接收郵件消息中適當(dāng)剔除含有潛在危險的HTML代碼。這個POC正是利用了這一漏洞，它從遠(yuǎn)程服務(wù)器下載一個表單，該表單看起來與合法的iCloud登錄提示窗口完全相同。每當(dāng)用戶查看包含“陷阱”的消息時，這個偽造的登錄提示窗都可以自動顯示。

GitHub上一個用戶名為jansoucek的人在readme文件中寫入了如下說明：

“這個漏洞允許遠(yuǎn)程加載HTML內(nèi)容，并可以替換原始電子郵件消息的內(nèi)容。雖然這個UIWebView 中禁用了JavaScript，但仍有可能通過簡單的HTML和CSS創(chuàng)建一個功能密碼收集器。”

為了降低它的可疑性，攻擊者可以編程實現(xiàn)僅僅彈出一次的密碼窗口。為了使其看起來更加真實，攻擊代碼使用了一個自動對焦特性，以確保一旦用戶點擊了“OK”按鈕，那么該對話框域?qū)⒆詣与[藏。然而，為了觸發(fā)該漏洞，所需要做的僅僅是使發(fā)送給用戶的郵件中包含HTML標(biāo)簽。

該漏洞除了可以用來釣魚蘋果用戶的密碼，還可以用來發(fā)送“提示信息”，以此使得郵件發(fā)送者知道誰查看了該郵件、何時以什么IP地址查看了該郵件。

視頻演示

演示視頻點擊這里觀看。

安全建議

作為一個iPhone的長期用戶，這可能是一個嚴(yán)重的漏洞：因為iOS系統(tǒng)在意想不到的時候顯示登錄提示并不少見。

安全研究人員曾在周三收到過這樣一個“釣魚提示”，而該攻擊發(fā)生的時間僅僅是了解到該漏洞之前的幾個小時。

安全研究人員建議用戶遇到這樣的密碼提示時，用戶最好不要輸入任何帳號密碼，而是直接按下取消按鈕。通過這樣做，大多數(shù)情況下用戶將不會面臨什么不良后果，最糟糕的情況也僅僅是再次彈出提示而已。值得一提的是，當(dāng)用戶向密碼提示框中輸入密碼前，首先應(yīng)該確保此時沒有查看電子郵件。

此外，更有經(jīng)驗的用戶能夠通過按下home鍵來檢測這個假提示。合法的提示是“模態(tài)對話框”，這意味著在按下OK或取消按鈕之前，它不允許用戶進行任何其他操作。相比之下，偽造的密碼提示并不是模態(tài)的，所以如果在顯示密碼提示框時按下home鍵設(shè)備回到了主屏幕，那么這就表明這個密碼提示是不可信的。

蘋果官方目前無回應(yīng)

根據(jù)該研究人員的消息，他在1月份向蘋果公司報告了該漏洞，但迄今為止蘋果拒絕提供漏洞修復(fù)，并且蘋果尚未針對該漏洞給予任何評論，但在iOS8.4中將有望看到對該漏洞的修復(fù)。