【巴士数码】一位安全方面的研究员表示,苹果移动电邮应用上存在一处漏洞,可以被用来欺骗用户提供他们的iCloud密码。来自布拉格的贾恩·苏西科(Jan Soucek)公布了一段概念验证代码,显示了如何向某人发送了一封电邮,并用其中的HTML代码伪装成类似iCloud登录弹窗的过程。随后,苏西科便收到一封包含iCloud密码的电邮。
该漏洞允许远程HTML内容通过电邮被载入,进而替换掉电邮本身的内容。苏西科表示,他可以据此通过HTML和CSS编写一个收集密码的程序。他同时公开了一段演示视频。
他于今年1月发现该漏洞,并告知了苹果,但该漏洞在iOS 8.1.2中仍然存在。因此,他决定公开漏洞细节。苹果未对此置评。
苏西科表示,通过只显示一次虚假iCloud认证窗口的做法,显著降低了人们的怀疑程度。
去年,在多起知名人士数据泄露事件发生后,苹果显著提升了iCloud账号的安全级别。黑客通过猜测用户名和密码的方式对某些公众人物的账号内容进行了访问。
当然,不排除上述事件是由于钓鱼攻击所导致,这让苏西科感到更加忧心忡忡。
通过iCloud证书,一个账号的全部内容都可以被下载至全新设备,包括照片、文本、通话记录、地址薄、日程以及其他信息。
就算iCloud证书被非法获取,苹果仍然有其他防范措施。现在,公司通过二元认证法对用户进行校验,同时在使用全新设备访问账户或密码被更改时向用户发送通知。