Apple 刚刚在 iOS 8.4 Beta 4 中修复了「死亡代码」的 Bug,现在又发现新 Bug。据消息指,iOS 8 最新曝光的漏洞是基于邮件,该漏洞原理很简单、简单说就是透过 CSS 等在邮件内容内设计出一个类似 iCloud 式的登录视窗,藉以窃取用户密码。而一旦密码失窃,个人隐私及财产安全将不保。(其实归根结底这并非邮件 App 所独有的问题)
据安全专家 Jan Soucek 近日指:「该 Bug 会透过弹出类似 iCloud 式的登录视窗来试图窃取用户的密码,黑客透过发送邮件讯息给目标用户,并远程载入 HTML 内容,同时弹出和 iCloud 验证类似的视窗,如果用户输入了 Apple ID 和密码,账户就会被盗,讯息也就会泄露。」
Jan Soucek 表示:「在一月份就发现了这个 Bug,并将其报告给了 Apple,但 Apple 方面一直未对此问题表示回应。」于是 Jan Soucek 就将他的发现透过网络公开,并发布了一个名为「Mail.app」的注入包(见下方),希望能够引起用户的重视和 Apple 的注意。
随着系统的升级,原本封闭并且相对安全的 iOS 频繁爆出各种严重漏洞,不知这是否与 Apple 开源化的发展方向有关系,目前 Apple 仍暂无回应,而该漏洞于 iOS 8.4 Beta 4 以及之前版本的 iOS 仍未修复
预览&实例
@jansoucek 于YouTube上传的预览短片及GitHub内上传的实例:
参考资料
New iOS Mail Bug Allows iCloud-Like Popups to Steal User Passwords
