Noticias
Bug en iOS facilita el robo de contraseñas en iCloud
Un investigador en seguridad ha publicado un prueba de concepto que, según él, hace fácil el poder robar contraseñas de iCloud a través de iOS, el sistema operativo que Apple utiliza para el iPad y el iPhone.
Desde la versión 8.3 de iOS la aplicación de iCloud falla a la hora de rechazar código HTML peligroso procedente de mensajes de correo electrónico entrantes. La prueba de concepto demuestra este error descargando un formulario desde un servidor remoto que se ve idéntico al de log-in legítimo de iCloud, que se muestra cada vez que se abre el mensaje trampa.
Según un usuario de GitHub llamado jansoucek, “este error permite que contenidos HTML remotos puedan ser cargados, reemplazando el contenido del e-mail original. El JavaScript está desactivado en este UIWebView, pero es posible construir un recolector de contraseñas funcional con HTML y CSS”.
Con el fin de hacerse pasar por el formulario de log-in legítimo de iCloud, el código utiliza una característica llamada autofoco para ocultar el campo de diálogo una vez que el usuario hace clic en OK. Todo esto es requerido para disparar la vulnerabilidad en un email que contiene la siguiente etiqueta HTML, <meta http-equiv=refresh>, que es enviado a la víctima, estando almacenado el log-in falso en una computadora conectada a Internet. Además de ser utilizado para recolectar contraseñas a través de phishing, la vulnerabilidad de iOS puede ser usada para enviar “balizas” que permiten a los remitentes saber quiénes han visto el correo, así como la hora y el medio a través del cual ha sido visto.
En caso de encontrarse un email sospechoso y que pueda estar relacionado con este bug, se recomienda cancelar cualquier acción sin tan siquiera introducir nada relacionado con las credenciales del usuario. La diferencia entre el formulario de log-in legítimo y el que no, es que el primero es “modal”, dicho de otra manera, no permite al usuario hacer otra cosa hasta que pulse sobre OK o cancele, mientras que el otro, al no ser modal, si se pulsa el botón de inicio (el botón físico del iPhone) con el log-in mostrado y este devuelve a la pantalla principal, el formulario se delata a sí mismo como falso.
Lo peor de todo es que el investigador ha notificado a Apple el pasado enero y esta se ha negado a suministrar ningún parche hasta el momento, no siendo la primera vez que la compañía de Cupertino muestra una actitud similar ante un problema de seguridad, aunque se espera que para iOS 8.4 este bug haya sido corregido.
Fuente | ArsTechnica
OMEN Transcend 14, un ultraligero todoterreno con GeForce RTX 4070
Sony presenta sus nuevos televisores BRAVIA (2024)
Cómo actualizar Windows mediante el Catálogo de Microsoft Update
Este Lenovo Yoga Slim 7 será otro portátil de nueva generación Windows sobre ARM
Hollow Knight: Silksong y Hades II, semana de avances «indies»
Google Maps también empleará la conectividad vía satélite
Requisitos de Ghost of Tsushima, llegará a PC el 16 de mayo con DLSS 3 y FSR 3
Cómo se instala el nuevo AtlasOS, el Windows ligero para jugadores
Fin de ADSL, ¿qué alternativas tienes?
Novedades VOD 15/24: ‘Fallout’, pulgares arriba
Los chips Apple Silicon M4 también pondrán el foco en la IA
Celebra la primavera con una licencia 100% original de Windows 11, por solo 20,1 € en Supercdk
OMEN Transcend 14, un ultraligero todoterreno con GeForce RTX 4070
Intel descataloga los Core Gen 13 Raptor Lake K en caja
Un ex de Microsoft dice que Windows 11 rinde cómicamente mal y está sin terminar
FRITZ!App Smart Home con Geofencing, domótica más inteligente
Novedades GeForce Now, aprovecha y consigue Fallout 76 gratis
Cómo se instala el nuevo AtlasOS, el Windows ligero para jugadores
-
NoticiasHace 20 horasRequisitos de Ghost of Tsushima, llegará a PC el 16 de mayo con DLSS 3 y FSR 3
-
PrácticosHace 7 díasCómo se instala el nuevo AtlasOS, el Windows ligero para jugadores
-
A FondoHace 4 díasFin de ADSL, ¿qué alternativas tienes?
-
A FondoHace 5 díasNovedades VOD 15/24: ‘Fallout’, pulgares arriba