c.m.g
11-06-2015, 11:12
mercoledì 10 giugno 2015
Un ricercatore identifica un pericoloso bug all'interno del client email di iOS, avvertendo Apple del problema. Cupertino lo ignora e il ricercatore decide di pubblicare il codice per sfruttarlo
Roma - Il client email nativo di iOS (8.3) è affetto da una pericolosa vulnerabilità di sicurezza, un bug che potrebbe permettere a un malintenzionato di condurre una campagna di phishing "a colpo sicuro" con la compromissione di password e credenziali di accesso all'ecosistema blindato di Cupertino.
https://youtu.be/9wiMG-oqKf0
La falla, dice il ricercatore che l'ha scoperta, è stata identificata a gennaio 2015 e ne è stata prontamente comunicata l'esistenza a Apple; a tutt'oggi, però, la vulnerabilità è ancora presente su iOS, e ora chiunque può consultare il codice (https://github.com/jansoucek/iOS-Mail.app-inject-kit/tree/master) di un "explot kit" in grado di sfruttarla per rubare le password degli utenti.
Il baco consiste nel caricamento di codice HTML da remoto durante la visualizzazione di una email nel client di iOS, una possibilità che non dovrebbe esistere e che permette, grazie all'uso del kit di cui sopra, di realizzare una funzionalità "raccogli-password" mascherata da pop-up di accesso a iCloud simile a quello legittimo. Il ricercatore evidenzia la pericolosità del baco (http://www.theregister.co.uk/2015/06/10/passwordflogging_phishing_tool_pwns_every_ios_mail_app/) nell'ottica di campagne di phishing mirate contro gli utenti di iOS e dei gadget mobile di Apple, uno strumento malevolo potenzialmente più efficace delle tradizionali email spazzatura con form integrato e più facilmente adattabile in "tempo reale" alle nuove esigenze dei cyber-criminali.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4251913/PI/News/ios-phishing-nativo.aspx)
Un ricercatore identifica un pericoloso bug all'interno del client email di iOS, avvertendo Apple del problema. Cupertino lo ignora e il ricercatore decide di pubblicare il codice per sfruttarlo
Roma - Il client email nativo di iOS (8.3) è affetto da una pericolosa vulnerabilità di sicurezza, un bug che potrebbe permettere a un malintenzionato di condurre una campagna di phishing "a colpo sicuro" con la compromissione di password e credenziali di accesso all'ecosistema blindato di Cupertino.
https://youtu.be/9wiMG-oqKf0
La falla, dice il ricercatore che l'ha scoperta, è stata identificata a gennaio 2015 e ne è stata prontamente comunicata l'esistenza a Apple; a tutt'oggi, però, la vulnerabilità è ancora presente su iOS, e ora chiunque può consultare il codice (https://github.com/jansoucek/iOS-Mail.app-inject-kit/tree/master) di un "explot kit" in grado di sfruttarla per rubare le password degli utenti.
Il baco consiste nel caricamento di codice HTML da remoto durante la visualizzazione di una email nel client di iOS, una possibilità che non dovrebbe esistere e che permette, grazie all'uso del kit di cui sopra, di realizzare una funzionalità "raccogli-password" mascherata da pop-up di accesso a iCloud simile a quello legittimo. Il ricercatore evidenzia la pericolosità del baco (http://www.theregister.co.uk/2015/06/10/passwordflogging_phishing_tool_pwns_every_ios_mail_app/) nell'ottica di campagne di phishing mirate contro gli utenti di iOS e dei gadget mobile di Apple, uno strumento malevolo potenzialmente più efficace delle tradizionali email spazzatura con form integrato e più facilmente adattabile in "tempo reale" alle nuove esigenze dei cyber-criminali.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4251913/PI/News/ios-phishing-nativo.aspx)