Сотрудник чешского офиса Ernst&Young Ян Соучек (Jan Souček) опубликовал информацию, согласно которой из-за имеющейся проблемы в приложении Mail для iOS и OS X можно загрузить внешний контент на базе HTML и без труда провести убедительные фишинговые атаки.
Соучек утверждает, что проблему он обнаружил еще в январе и сразу же проинформировал об этом Apple, однако уязвимость так и не была устранена.
Соучек сообщает, что проблема состоит в том, что почтовый клиент Apple показывает HTML-тег <meta http-equiv=refresh>, который невозможно игнорировать. Заменив содержимое электронного письма и загрузив внешний HTML-контент, атакующий может влиять на то, что видит пользователь, и таким образом вынудить его ввести пароль.
«Самое простое решение данной проблемы — игнорирование тега метаобновления, как и многие другие HTML-теги. Но при желании можно было бы устранить проблему в течение 5 минут», — заявил Ян Соучек.
Стратегія охолодження ЦОД для епохи AI
| +11 голос |
|
