iOS saugumo spraga leidžia pavogti Jūsų slaptažodį

Apple iOS operacinė sistema yra viena saugiausių pasaulyje operacinių sistemų ir kiekvienoje naujoje jos versijoje atsiranda naujų saugumo sustiprinimų, tačiau nėra operacinės sistemos, kurioje nebūtų klaidų.

iOS operacinė sistemoje Apple pasirūpino vartotojų saugumu taip, kad net žvalgybos organizacijos turinčios didžiausius departamentus, kuriuose darbuojasi programišiai-genijai, patiria nepaprastai daug keblumų kai tenka prieiti prie iOS įrenginyje esančių vartotojo duomenų. Kaip ten bebūtų, tikriausiai nėra pasaulyje programinės įrangos, kurioje nebūtų nei vienos, net pačios mažiausios programinės klaidos. O ką jau kalbėti apie tokias klaidas, pasinaudojimas kuriomis didele dalimi priklauso ir nuo vartotojo budrumo.

Ernst & Young saugymo ekspertas Jan Soucek sukūrė įrankį, kurio pagalba galima nesunkiai apgauti iOS vartotoją ir tokiu būdu užvaldyti jo elektroninio pašto paskyrų ar Apple ID vartotojo vardus ir slaptažodžius. Soucek įrankis išnaudoja iOS Mail aplikacijoje esančią saugumo spragą, kuri automatiškai įkelia HTML turinį iš interneto serverių.

Saugumo ekspertas sukūrė iššokantį langą, kuris atrodo lygiai taip pat kaip ir pasirodantis kai iOS įrenginys vartotojo reikalauja įvesti Apple ID ir su juo susietą slaptažodį. Daugelis Apple vartotojų taip pripratę prie to lango vaizdo, kad net nesusimąsto apie tai, kad čia gali slypėti apgaulė. Kai iššokusiame lange įvedama reikalinga informacija ir paspaudžiama ant OK - prisijungimo duomenys nusiunčiami į programišių serverį

Ši klaida aptikta dar 2015 metų sausį ir Apple apie ją buvo informuota, tačiau nei vienas iOS atnaujinimas pradedant nuo iOS 8.1.2 šios klaidos neištaisė. Praėjus „padoriam“ laikotarpiui per kurį save gerbianti kompanija turėtų ištaisyti saugumo spragą - Jan Soucek apie ją paskelbė viešai, o Github tinkle patalpino įrankį leidžiantį „išbandyti iOS Mail aplikacijos atsparumą“ šiai Phishing atakai.