Szerző: Hlács Ferenc

2015. június 11. 14:27

Könnyen lophatók a jelszavak az iOS Mail appján keresztül

Komoly biztonsági rés tátong az iOS alapértelmezett email alkalmazásán. A szoftver egy HTML kóddal egyszerűen rávehető, hogy a rendszerüzenetekhez megtévesztésig hasonló bejelentkeztetőablakot dobjon fel, amelyen keresztül a támadók megszerezhetik a gyanútlan felhasználók jelszavait.

Könnyedén ellophatók az iPhone és iPad tulajdonosok iCloud jelszavai, az Apple emailalkalmazásának biztonsági rését kihasználva. Az iOS-t futtató eszközök alapértelmezett email kliense rosszindulatú HTML kóddal vehető rá, hogy a szóban forgó azonosító megadására kérje a felhasználót.

A hibát felfedező, Jansoucek nicknévvel dolgozó GitHub felhasználó szerint a Mail.app alkalmazásban található bug lehetővé teszi, hogy a támadók egy email elküldésével tetszőleges HTML kódot töltessenek be a szoftverrel, azzal helyettesítve a levél tartalmát. Noha a fejlesztő szerint a UIWebWiew-ban a JavaScript ki van kapcsolva, HTML és CSS segítségével így is, viszonylag egyszerűen létrehozható egy illetéktelen "jelszógyűjtögető".

00:59
 

Proof-of-concept: iOS 8.3 Mail.app attack

Még több videó

Jansoucek még januárban fedezte fel a sebezhetőséget, amelyet jelzett is az Apple felé, a vállalat ugyanakkor azt a 8.1.2-es, illetve későbbi iOS frissítésekben sem korrigálta - a szakértő ezért most GitHub oldalán is közzétette a hibát, egy működő, proof-of-concept kóddal egyetemben, amelyhez használati utasítást is adott, így akár a területen kevésbé jártasak is tesztelhetik azt. Az egész művelethez mindössze egy emailre van szükség, benne a rosszindulatú HTML taggel, illetve egy számítógépre, a hamis jelszókérő ablak megosztásához. A megoldással létrehozott ablak egyébként látszólag teljesen hiteles, külsőre pontosan illeszkedik az iOS dizájnjához. Ahogy arra az ArsTechnica is rámutat, a a rosszindulatú kóddal az is megoldható, hogy az ablak csak a levelet először megnyitva ugorjon fel, majd az Ok gombra bökve eltűnjön.

A most közzétett sebezhetőség értelemszerűen ideális megoldás phising támadásokhoz, hiszen miután az iOS-ben nem ritka, hogy a felhasználó hasonló bejelentkeztető ablakokba fut, így a tapasztalatlanabbak könnyen a csalók áldozatává válhatnak. A hasonló támadásokat ugyanakkor, legalábbis ha a felhasználó résen van, egyszerű kiszűrni, elég a Home gombra nyomni, mikor az üzenet megjelenik: ha hiteles jelszókérésről van szó, a rendszer csak az Ok vagy Cancel lehetőségekre bökve enged tovább, míg az imitált ablak esetében a kezdőképernyőre ugrik - a legegyszerűbb persze általában elkerülni az emailek olvasgatása közben felbukkanó bejelentkeztetőmezőket.

Az Apple részéről egyelőre nem érkezett hivatalos állásfoglalás a biztonsági réssel kapcsolatban, ugyanakkor most, hogy az nyilvánosságra került, a vállalat jó eséllyel záros határidőn belül javítja a sebezhetőséget.

a címlapról