iPhone 或 iPad 用戶請記下您的識別碼。安全研究員 Jan Soucek 在 Apple Mail 應用程式(iOS 上的預設電子郵件用戶端)中發現了一個很好的錯誤,該錯誤允許它模擬 iCloud 使用者名稱和密碼請求的彈出視窗。使用者只能看到火,因為這些視窗經常出現在蘋果的行動系統上。研究人員進行了一項示範影片並發布了其漏洞程式碼GitHub。
該缺陷在於 Mail 應用程式允許某種類型的 HTML 標記通過(),它允許您在加載後用另一個訊息內容替換訊息內容。這在 Gmail 或 Outlook 等其他電子郵件用戶端上是不可能的。當使用此錯誤作為密碼請求表單的一部分時,看起來會出現一個彈出窗口,而實際上它只是一個普通的 HTML 表單,但佈局很好。由於此表單僅出現在 iOS 終端機上,因此更加可信。
Jan Soucek 去年一月就發現了這個缺點。他警告蘋果公司,但後者迄今尚未發布任何補丁。這就是他決定公開這項資訊的原因。此缺陷至少涉及 8.1.2 及更高版本。數以百萬計的終端因此受到影響。我們一定希望它能隨著 iOS 9 的到來而充滿。
另請閱讀:
Apple 推出 iOS 9,未來的行動作業系統,於 08/06/2015
