Apple 剛剛在 iOS 8.4 Beta 4 中修復了「死亡代碼」的 Bug,現在又發現新 Bug。據消息指,iOS 8 最新曝光的漏洞是基於郵件,該漏洞原理很簡單、簡單說就是透過 CSS 等在郵件內容內設計出一個類似 iCloud 式的登錄視窗,藉以竊取用戶密碼。而一旦密碼失竊,個人隱私及財產安全將不保。(其實歸根結底這並非郵件 App 所獨有的問題)
據安全專家 Jan Soucek 近日指:「該 Bug 會透過彈出類似 iCloud 式的登錄視窗來試圖竊取用戶的密碼,黑客透過發送郵件訊息給目標用戶,並遠程載入 HTML 內容,同時彈出和 iCloud 驗證類似的視窗,如果用戶輸入了 Apple ID 和密碼,賬戶就會被盜,訊息也就會泄露。」
Jan Soucek 表示:「在一月份就發現了這個 Bug,並將其報告給了 Apple,但 Apple 方面一直未對此問題表示回應。」於是 Jan Soucek 就將他的發現透過網絡公開,並發佈了一個名為「Mail.app」的注入包(見下方),希望能夠引起用戶的重視和 Apple 的注意。
隨著系統的升級,原本封閉並且相對安全的 iOS 頻繁爆出各種嚴重漏洞,不知這是否與 Apple 開源化的發展方向有關係,目前 Apple 仍暫無回應,而該漏洞於 iOS 8.4 Beta 4 以及之前版本的 iOS 仍未修復
預覽&實例
@jansoucek 於YouTube上傳的預覽短片及GitHub內上傳的實例:
參考資料
New iOS Mail Bug Allows iCloud-Like Popups to Steal User Passwords
