iPhone 或 iPad 用户请记下您的标识符。安全研究员 Jan Soucek 在 Apple Mail 应用程序(iOS 上的默认电子邮件客户端)中发现了一个很好的错误,该错误允许它模拟 iCloud 用户名和密码请求的弹出窗口。用户只能看到火,因为这些窗口经常出现在苹果的移动系统上。研究人员进行了一项演示视频并发布了其漏洞利用代码GitHub。
该缺陷在于 Mail 应用程序允许某种类型的 HTML 标记通过(),它允许您在加载后用另一个消息内容替换消息内容。这在 Gmail 或 Outlook 等其他电子邮件客户端上是不可能的。当使用此错误作为密码请求表单的一部分时,看起来会出现一个弹出窗口,而实际上它是一个简单的 HTML 表单,但布局很好。由于此表单仅出现在 iOS 终端上,因此更加可信。
Jan Soucek 去年一月就发现了这个缺陷。他警告苹果公司,但后者迄今为止尚未发布任何补丁。这就是他决定公开这一信息的原因。该缺陷至少涉及 8.1.2 及更高版本。数以百万计的终端因此受到影响。我们一定希望它能随着 iOS 9 的到来而充满。
另请阅读:
Apple 推出 iOS 9,其未来的移动操作系统,于 08/06/2015
