دزدیدن پسوورد iCloud بوسیله باگی که در اپلیکیشن Mail است

یک باگ جدی در اپلیکیشن پایه‎ی Mail اپل برای آیفون، آیپاد تاچ و آیپد به هکران اجازه می‎دهد تا کاربران را برای در اختیار گذاشتن اطلاعات ورود iCloud آن‎ها، گول بزنند.
چنین حملات فیشینگی می‎تواند نابود کننده باشد از آنجاییکه iCloud روز به روز بیشتر به خانه‎ی زندگی دیجیتالی ما در جهان اپل، از جمله کتابخانه‎ی عکس‎های ما، یادداشت‎ها، اطلاعات تماس و دیگر اطلاعات شخصی، دارد تبدیل می‎شود.

iOS-8-Mail-iPhone-6-screnshot-001
سایتThe Register در روز 4 شنبه گزارش داد که، در طی این حمله، فرد مهاجم از باگی که در اپلیکیشن Mail وجود دارد استفاده می‎کند تا ارائه‎ی پاپ‎های به ظاهر متقاعد کننده آسان شود که مشابه با پاپ آپ‎هایی است که در آن پسوورد iCloud خواسته می‎شود و این کار از طریق یک پیام ایمیل ساده صورت می‎گیرد.

با آنکه چنین ایمیل‎هایی به نظر از سوی یک کمپانی واقعی می‎آید، ولی برای کلاه برداری هستند و زمانی که کاربری که شک نکرده است آن را روی آیفون، آیپاد تاچ یا آیپد دارای iOS 8.3 باز می‎کند، سیستم عامل محتوای مخرب HTML که درون آن جا داده شده است را اجرا می‎کند.

چنین خرابکاری از این حقیقت نشات می‎گیرد که اپلیکیشن میل اپل یک رشته‎ی کلیدی از کد‎ها را در ایمیل‎های ورودی نادیده می‎گیرد که به دستگاه iOS شما می‎گوید

هرگونه کد HTML قرار داده شده را اجرا کند.

این کد یک فرم iOS را جعل می‎کند که یوزرنیم و پسوورد iCloud شما در آن خواسته می‎شود. طبیعتا، چنین چیزی قلابی است و باید فورا بسته شود.

محقق امنیتی Jan Souček ابتدا چنین نقصی را در ماه ژانویه‎ی امسال کشف کرد.

او گفت “در ماه ژانویه‎ی 2015، من به باگی در کلاینت ایمیل iOS برخوردم، که در نتیجه‎ی آن تگ HTML در پیام‎های ایمیل نادیده گرفته نمی‎شد.”

“این باگ به محتوای‎ HTML اجازه لود شدن می‎دهد که در نتیجه جایگزین محتوای اصلی پیام ایمیل می‎شود. جاوا اسکریپت در این UIWebView غیرفعال است، ولی هنوز امکان سخت یک جمع کننده‎ی پسوورد عملکردی با استفاده از HTML و CSS ساده وجود دارد.”

هنوز مشخص نیست چرا اپل چنین حفره‎ی امنیتی آسیب پذیری را نزدیک به 6 ماه باز گذاشته است، ولی Souček تحت تاثیر قرار نگرفته بود.

Souček با توجه از عدم رضایتی که کمپانی اپل در پوشاندن سریع این باگ اقدامی انجام نداده بود، تصمیم گرفت این کد را در GitHub منتشر کند تا از مهندسی آگاهی در شبکه‎های اجتماعی استفاده کند. مشکل این است، که با انجام این کار او به صورت بالقوه قدرت را به کاربرانی داد تا از حملات فیشینگ به افرادی که دارای دستگاه‎‎های iOS هستند و به این قضیه مشکوک نمی‎شوند، استفاده کنند.

افرادی که از اپلیکیشن پایه‎ی Mail اپل استفاده نمی‎کنند در معرض این خطر با این نوع روش حمله قرار ندارند.

بهترین توصیه‎ای که من می‎توانم در این رابطه به افراد بکنم این است که شما باید از تایپ کردن یوزرنیم و پسوورد شناسه‎ی اپل و iCloud خود درون هر اپلیکیشن یا کادر تحت هر شرایطی دوری کنید، مگر اینکه مطلقا مطمئن باشید که چنین درخواستی از سوی خود سیستم عامل می‎آید.

در رابطه با این باگ خاص، هرگونه درخواستی که ممکن است به دنبال استفاده از اپلیکیشن Mail در آیفون، آیپاد تاچ یا آیپد شما، بیاید را نادیده بگیرید.