Hati-hati Bug iOS Bisa Curi Password iCloud
Kamis, 11 Juni 2015 - 18:25 WIB
Hati-hati Bug iOS Bisa Curi Password iCloud
A
A
A
CUPERTINO - Seorang peneliti keamanan telah menerbitkan adanya serangan (bug) terhadap password. Kabarnya, bug pada Apple iOS versi terbaru untuk iPhone dan iPad itu dapat dengan mudah mencuri password iCloud.
Dilansir dari Arstechnica, Kamis (11/6/2015), beberapa bukti serangan terekspos dalam Mail.app, program email default iOS. Sejak dirilis versi 8.3 awal April lalu, aplikasi gagal menghapus kode HTML yang berpotensi berbahaya dari pesan email yang masuk.
Bukti eksploitasi konsep terlihat dari kegagalan men-download formulir dari server jauh yang terlihat identik dengan login iCloud sesungguhnya. Hal ini dapat ditampilkan setiap kali pesan jebakan tampil.
"Bug ini memungkinkan konten HTML dimuat, mengganti isi pesan email asli," tulis salah seorang pengguna GitHub dengan nama jansoucek dalam file readme, yang menyertai bukti serangan.
"JavaScript dinonaktifkan di UIWebView, tetapi masih mungkin membangun password fungsional kolektor menggunakan HTML sederhana dan CSS (Cascading style sheet)," tambahnya.
Untuk mengurangi akibat serangan, dapat diprogram menampilkan password prompt hanya sekali. Setidaknya pesan berbahaya itu tidak terus-terusan muncul.
Serangan ini benar-benar meniru prompt milik Apple untuk menarik pengguna iOS. Kode yang telah diserang, menggunakan fitur yang dikenal sebagai autofocus untuk menyembunyikan dialog pengguna cukup dengan mengklik OK.
Selain digunakan untuk mencuri password, kelemahan iOS juga dapat digunakan untuk mengirim "beacon". Sehingga memungkinkan pengirim tahu siapa yang telah melihat email, ketika dilihat dari alamat Internet.
CEO Errata Security dan pengguna lama iPhone, Rob Graham mengatakan, pengguna dapat mengatasinya dengan menekan tombol batal setiap login. Sebagian besar waktu pengguna akan menghadapi adalah mereka akan diminta berkali-kali.
Ketika pengguna memasukkan password mereka ke dalam kotak, harus memastikan saat melakukannya tidak ada email yang akan tampil.
Pengguna yang lebih berpengalaman dapat mendeteksi prompt palsu dengan menekan tombol home ketika tampil. Peneliti mengatakan, ia melaporkan bug ke Apple pada Januari lalu, tetapi belum ada respon positif Apple terkait hal ini.
Dilansir dari Arstechnica, Kamis (11/6/2015), beberapa bukti serangan terekspos dalam Mail.app, program email default iOS. Sejak dirilis versi 8.3 awal April lalu, aplikasi gagal menghapus kode HTML yang berpotensi berbahaya dari pesan email yang masuk.
Bukti eksploitasi konsep terlihat dari kegagalan men-download formulir dari server jauh yang terlihat identik dengan login iCloud sesungguhnya. Hal ini dapat ditampilkan setiap kali pesan jebakan tampil.
"Bug ini memungkinkan konten HTML dimuat, mengganti isi pesan email asli," tulis salah seorang pengguna GitHub dengan nama jansoucek dalam file readme, yang menyertai bukti serangan.
"JavaScript dinonaktifkan di UIWebView, tetapi masih mungkin membangun password fungsional kolektor menggunakan HTML sederhana dan CSS (Cascading style sheet)," tambahnya.
Untuk mengurangi akibat serangan, dapat diprogram menampilkan password prompt hanya sekali. Setidaknya pesan berbahaya itu tidak terus-terusan muncul.
Serangan ini benar-benar meniru prompt milik Apple untuk menarik pengguna iOS. Kode yang telah diserang, menggunakan fitur yang dikenal sebagai autofocus untuk menyembunyikan dialog pengguna cukup dengan mengklik OK.
Selain digunakan untuk mencuri password, kelemahan iOS juga dapat digunakan untuk mengirim "beacon". Sehingga memungkinkan pengirim tahu siapa yang telah melihat email, ketika dilihat dari alamat Internet.
CEO Errata Security dan pengguna lama iPhone, Rob Graham mengatakan, pengguna dapat mengatasinya dengan menekan tombol batal setiap login. Sebagian besar waktu pengguna akan menghadapi adalah mereka akan diminta berkali-kali.
Ketika pengguna memasukkan password mereka ke dalam kotak, harus memastikan saat melakukannya tidak ada email yang akan tampil.
Pengguna yang lebih berpengalaman dapat mendeteksi prompt palsu dengan menekan tombol home ketika tampil. Peneliti mengatakan, ia melaporkan bug ke Apple pada Januari lalu, tetapi belum ada respon positif Apple terkait hal ini.
(dyt)
