iOS 8.3, un bug ruba le credenziali iCloud [Video]

[blogo-video id=”181326″ title=”Furto Password iCloud” content=”” provider=”brid” video_brid_id=”” video_original_source=”” image_url=”https://s3.eu-west-1.amazonaws.com/video.blogo.it/thumb/7TjBBXCx-640.jpg” thumb_maxres=”0″ url=”238122″ embed=”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”]

Un nuovo, temibile bug di iOS 8.3 è stato scovato in queste ore dallo specialista di sicurezza Jan Soucek. Alcune mail truffaldine potrebbero indurvi a immettere le vostre credenziali iCloud e rubarvi così la password. Vi spieghiamo come difendervi.

[related layout=”big” permalink=”https://www.melablog.it/post/180752/bug-imessage-la-soluzione-ufficiale-in-attesa-dellupdate”]Qualche buontempone vi ha mandato l’iMessage della Morte? Niente paura, Apple ha una soluzione tampone in attesa di un aggiornamento definitivo.[/related]

In pratica, un malintenzionato potrebbe inviarvi una mail capace di aprire un popup e simulare in tutto e per tutto un prompt di sistema per il login di iCloud. Il box che compare somiglia moltissimo a quelli che iOS tira fuori di tanto in tanto per richiedere questa o quella password.

“Lo scorso gennaio 2015, mi sono imbattuto in un bug del client Mail di iOS, a causa del quale non viene ignorato un determinato tag HTML nella mail. Questo bug consente il caricamento di contenuto HTML remoto, rimpiazzando così il contenuto originale della mail. Il trucco funziona anche con Java disabilitato, grazie a semplici stringhe HTML e CSS.”

Il ricercatore ha dapprima contattato Apple per richiedere un intervento in tempi record, ma poiché da Cupertino non giungevano notizie, ha deciso infine di pubblicare le informazioni riguardanti al falla, così da costringere Cupertino a prendere atto della cosa. E speriamo che inglobino tutto nel primo update disponibile, perché ora che la falla è di dominio pubblico, il rischio di ricevere mail contraffatte è molto concreto.

Come difendersi

Massima allerta, dunque, e attenzione alle password che immettete dopo aver aperto l’app Mail. I box di dialogo di sistema non scorrono assieme alle e-mail, e già questo dovrebbe mettervi in allerta. Nel dubbio, in caso, annullate tutto: tanto, se è una necessità di sistema, iOS vi chiederà la password alla prima occasione utile.