蘋果在剛剛向開發(fā)者發(fā)布的第四個 beta 版本的 iOS 8.4中，解決了短信關(guān)機(jī)漏洞。不過，新的漏洞又出現(xiàn)了，這次小心你的iCloud密碼。

據(jù)外媒arstechnica報道，安全研究人員近日發(fā)布了一份漏洞利用代碼。這份代碼表明，攻擊者可以通過足以以假亂真的釣魚，輕易竊取使用最新iOS版本的iCloud密碼。

據(jù)該研究人員表示，他在1月份向蘋果公司報告了該漏洞，但迄今為止蘋果拒絕提供漏洞修復(fù)。這個概念驗(yàn)證性攻擊利用了iOS系統(tǒng)中默認(rèn)的電子郵件程序Mail.app的一個漏洞，該應(yīng)用自從4月初iOS8.3版本發(fā)布以來，就未能從接收郵件消息中適當(dāng)剔除含有潛在危險的HTML代碼。而正是利用這個漏洞，POC（黑客圈中指觀點(diǎn)驗(yàn)證程序）從遠(yuǎn)程服務(wù)器下載一個表單，該表單看起來與合法的iCloud登錄提示窗口完全相同。用戶將很容易陷入“陷阱”之中。

在周三發(fā)生攻擊的幾個小時后，安全研究人員曾收到一個“釣魚提示”。

為了讓這個對話框看起來更加真實(shí)，攻擊代碼使用了一個自動對焦特性，以確保一旦用戶點(diǎn)擊了“OK”按鈕，那么該對話框域?qū)⒆詣与[藏。然而，在發(fā)給用戶的郵件中包含的HTML標(biāo)簽<meta http-equiv=refresh>則已悄悄觸發(fā)了該漏洞。

目前，蘋果方面并未做出任何回應(yīng)。而安全研究人員的建議是，不要輸入任何帳號密碼，而是直接按下取消按鈕。因?yàn)槿绻钦５奶崾究?，在按下OK或取消按鈕之前，它不允許用戶進(jìn)行任何其他操作。而偽造的密碼提示并不是模態(tài)的，所以如果在顯示密碼提示框時按下home鍵設(shè)備回到了主屏幕，那么這就表明這個密碼提示是不可信的。

iCloud密碼被竊取的后果，在經(jīng)歷了美國好萊塢“艷照門”事件，相信大家已經(jīng)畏懼。所以，看好你家密碼，別讓自己成為下一個艷照門。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。