日前有資安研究人員發現,Apple iOS 裝置上的原生電郵應用「Mail」含有漏洞,黑客可藉此於郵件中載入遠端的惡意網頁內容,從而窺取用戶如 iCloud 帳戶密碼等資料。
Apple:「暫未發現用戶受此影響」
據發現此漏洞的資安人員 Jan Soucek 指,此漏洞日前被發現於 iOS 8.3 之上,但最早出現之時大概可追溯至 iOS 8.1.2:原因為今年年初就已向 Apple 回報相關漏洞,但代號為 Radar #19479280 的漏洞於現時最新的 iOS 版本上依然運作如常。
是次被發現的漏洞出現於 iOS 內置電郵應用「Mail」處理 HTML 的步驟中,漏洞令Mail 可自遠端伺服器載入非原文的 HTML 內容以取代郵件原來內容。而即使用戶/開發人員將 Apple UIWebView 的 JavaScript 關閉,黑客依然可以利用簡單的 HTML 與 CSS 建立密碼的蒐集器,獲取大量用戶的敏感個人資料。
Soucek 更就此設計一項概念攻擊,讓含上述漏洞的 iOS 裝置載入惡意登入的遠端 HTML 網頁,普以偽造的 iOS 登入選項誘騙不慎用戶提供其 Apple ID 與密碼;並於蒐集完成後採用 redirect 的方式再對郵件原文進行篡改。
Apple 對外表示,暫時未接到有任何消費者受此概念驗證攻擊影響,而 Apple 亦正著手修補程式漏洞以便在未來更新中發佈。Apple 續指,Apple ID 的兩步驗證亦可於第二階段層面上,有效阻截黑客取得驗證資料,從而阻止用戶被攻擊。
Source:Jan Soucek GitHub
