切记!这样弹出的对话框 不!要!点!!!
- +1 你赞过了
【天极网网络频道】据外媒报导, iOS 邮件 Mail.app 上的存在一个可被利用的漏洞,黑客可以透过这个漏洞,发送远程 HTML 内容到邮件,并重新导向一个攻击网页,让攻击网页的内容取代既有邮件内容,可用以发动各种攻击,甚至是用以窃取密码。攻击邮件的制作相当简单,只需要加入一 标签,并输入藏有攻击码的网站地址,即大功告成。
(图一:ASRC测试为导向雅虎网站)
Mail 应用就一直不能适当屏蔽掉新邮件消息中含有潜在危险的 HTML 代码。被公布的攻击代码就是利用这个漏洞:它可以从远程服务器下载一份看起来同 iCloud 原版登录提示一模一样的表格。每当用户打开这个藏有陷阱的信息,假冒的 iCloud 登录界面就会出现。黑客依旧可以利用简单的 HTML 和 CSS 建立一个可以工作的密码「收集器」。
(图二:弹出的iCloud登录界面)
(图三,ASRC在iOS 8.x的Mail.app上,测试邮件内容就直接变成了雅虎的画面)
过去的钓鱼邮件要导引受害者至钓鱼网站,需要受害者配合主动点击;但若利用此漏洞,甚至用以攻击特定对象(鱼叉式攻击),则只要受害者以iOS 8.x中的Mail.app阅读邮件,即会自动导向钓鱼网站。ASRC认为这个漏洞非常严重,因为正常的 iOS 系统也会多次显示密码登录界面,这无疑是增加了用户的受害几率。在ASRC看来,用户遇到要求输入密码提示界面时最好的办法是点击取消,而不是输入任何登录信息。大部分时候,用户取消密码输入后不会带来什么严重后果,最糟糕的情况也就是系统再次弹出提示要求用户输入密码。如果用户真的需要输入密码,那么他们要确保这时候自己没有打开任何邮件。
Softnext守内安与ASRC在此呼吁:使用iOS 8.x的用户,在收取邮件时,若发现弹出iCloud登录的密码框或有额外弹出网页的情况,务必特别谨慎小心,切勿在其中输入任何密码或个人数据!
ASRC还特别指出,弹出的iCloud界面只是该漏洞呈现的一种形式而已,其背后,我们更需要警惕的是,此前,网页的攻击多半是被动的,它被设好后,得等受攻击的人主动链接这个特制的网页才能发动后续的攻击,就是我们俗称的钓鱼攻击。而藉由这个mail.app的漏洞,攻击可以化被动为主动,可直接发送一个利用此漏洞的邮件,收件人只要不小心看了邮件,网页攻击就可被发动!
所以,anyway,希望苹果公司尽早解决这一严重漏洞!在其未公布该漏洞更新前,建议个人用户尽可能避免使用iOS的原生Mail app。
※关于Softnext 守内安:
大中华区的邮件安全市场领导者,将近四成福布斯十佳CEO企业选择的邮件安全管理应用——Softnext守内安凭借在网络内容安全应用领域十多年的深入钻研,致力于邮件安全以及网络内容的风险管控,提供面向市场、面向客户的最新威胁防御的网络安全产品,秉承“服务•品质•值得信赖”的全新品牌理念;在FROST & SULLIVAN(全球知名市调公司)大中华区调研中,除了成为连续五年复合业绩成长率第一名的质优企业。
作为邮件风险管理和信息安全内控管理服务的专业研发厂商,Softnext守内安立于本土,深入的本土化耕耘,相继获颁【2013中国软件和信息技术服务业最有价值品牌】和【品牌建设卓越团奖队】,邮件安全三剑客连续三年蝉联【上海市优秀软件产品奖】,并获得Frost & Sullivan授予【年度邮件内容安全服务提供商】的殊荣,并在品牌建设上,屡获软件和信息技术服务业【最有价值品牌奖】。
了解更多内容安全信息,欢迎关注Softnext守内安官方微信:更可洽+86-21-51036007,或登录Softnext守内安官网//www.softnext.com.cn/ 。
最新资讯
热门视频
新品评测