16 891
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film

Komoly veszélyben vannak az Apple felhasználói

Makay József2015.06.11. 14.47
Kattints ide  ➜
/ContentUploads/N5511/apple_icloud_mail_xss.jpgBár a rosszindulatú hackereknek az esetek többségében komoly problémákkal kell szembenézniük, ha felhasználói fiókok belépési azonosítóit akarják megszerezni valamelyik nagyobb vállalattól, mégis vannak olyan esetek, amikor maga a vállalat kínálja tálcán a lehetőséget. Ezúttal az Apple tesz magasról a biztonságra – az iPhone és iPad készüléktulajdonosok legnagyobb bánatára és kárára.

A történet még januárban kezdődött, amikor egy Jan Souček nevű hacker (biztonsági kutató) felfedezte, hogy az Apple iOS mobil operációs rendszerének Mail alkalmazásában egy koncepcionális XSS (Cross-Site Scripting) sérülékenység található. Ezalatt nem kell semmilyen varázslatra, sem bináris kódokra gondolni, egyszerűen arról van szó, hogy az alkalmazás a HTML formátumú e-mailek esetén az „átirányítás utasítást” is végrehajtja, holott ezt nem illene megtennie.

A támadók könnyedén bejelentkezhetnek az Apple-fiókunkba, hozzáférve minden privát adatunkhoz, képeinkhez és videóinkhoz.



Souček még január 15-én jelezte a hibát az Apple felé, majd 3 nappal később egy videót is közzétett, amiben bemutatja, hogyan használható ez a technikailag jelentéktelennek tűnő sebezhetőség jelszavak lopására.



  1. Letöltünk valahonnan egy e-mail címlistát.

  2. A lista minden címére elküldünk egy HTML formátumú levelet, amiben a <meta http-equiv=refresh content=0;URL=[támadó weboldal] /> elemet.

  3. Az elemmel áritányíthatjuk az áldozatok Mail alkalmazásait a saját weboldalunkra.

  4. Az oldal a betöltés után egy pontosan ugyanolyan bejelentkezőablakot dob fel, mint amilyet a rendszer dobna fel lejárt határidejű bejelentkezés esetén.

  5. A felhasználók naivan megadják az iCloud bejelentkezési adataikat, viszont a valóságban nem történt semmilyen kijelentkezés és nem fog bejelentkezés sem.

  6. A beviteli mezők az általunk üzemeltetett szervernek küldik az információkat, elmentve azokat egy saját adatbázisba.


A módszer természetesen bármilyen más adat begyűjtésére használható, kezdve a jelszavaktól egészen a banki azonosítók „újra bekéréséig”.


Az ügyben még komolyabb probléma, hogy a sérülékenység jelentése óta lassan fél év telt el, viszont az Apple még mindig nem tiltotta le az ilyen jellegű eltérítés lehetőségét. Éppen ezért Souček a cég motiválása érdekében feltöltött egy kész megoldást a GitHubra, amivel lényegében bárki elvégezheti a fentebb leírtakat, jóformán csak egy PHP szervert kell telepítenie a számítógépére. Egy ilyen lépés etikusságáról persze megoszlanak a vélemények, mindenesetre az egész történet lényege az, hogy jelenleg szinte minden iPhone és iPad felhasználó veszélyben van.

Forrás: 9to5Mac
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)