Hopp til navigasjon Hopp til innhold
Apple må snarest luke bort hullet som gjør det mulig for hackere å lage realistiske pop-up-vinduer som ber om brukernavn og passord som avbildet. Det ser ut som det er Apple som spør, når det i virkeligheten kan være epost-scammere. (Ill.: Jan Souček)

Derfor kan dette ende i passordkatastrofe for Apple-eiere

Selskapet må stoppe dette i epost-appen sin ASAP.

Sikkerhetsekspert Jan Souček har laget en skremmende god proof of concept-phishing-epost ved å utnytte svakheter i Apples epost-app til iPhone og iPad.

Dette må Apple rette opp i
Dette ved å lage en pop-up-melding som ser svært lik ut den ekte Apple serverer kundene sine når systemet har et spørsmål brukeren må ta stilling til.

«I januar i år snublet jeg over en feil iOS’ sin epost-klient. Hullet innebærer at HTML-tagger i en epost-melding ikke ignoreres.

Feilen går ut på at HTML-innhold fra en ekstern server lastes, og erstatter innholdet i den opprinnelige eposten.»

Enkelt med grunnleggende kunnskaper
«JavaScript er alltid deaktivert i UIWebView, men det er likevel mulig å bygge en funksjonell passord-innhenter ved å bruke enkel HTML og CSS», advarer Souček .

Ifølge samme mann har Apple ikke svart på henvendelsen hans fra januar. Feilen er fortsatt å finne i nyeste iOS-versjon 8.3.

Vi har i det siste selv mottatt scam-epost med Apple-logo som prøver å lure oss til å refundere app-kjøp med en farlig lenke. Vær på vakt.

Slik ser scam-dialog-boksen ut i epost-appen som kan lure til seg brukernavn og passord:


 

Kilde:
Jan Soucek

Stikkord: Apple, ios, sikkerhet