苹果用户要小心了,根据AI企业家Parth Patel发布的推文,苹果的密码重置功能疑似存在漏洞,允许黑客在苹果设备上强制显示上百条重置密码的系统级提示。并且,由于重置密码提示是在系统级别发送的,用户必须一一点击取消,否则无法正常使用设备。据了解,攻击者能够让受害者的iPhone、Apple Watch、Mac不断显示系统级别的密码重置提示。由于密码重置请求针对的是苹果ID,这些窗口会在受害者的所有苹果设备上弹出,并且直到受害者在每个设备上逐个全部取消弹出窗口为止,这些苹果设备都无法正常使用。Parth Patel因此不得不在100多个重置密码提示上一一点击“不允许”,同时其他受害者也报告了相近数量的弹窗通知。与一般的钓鱼攻击不同,这类攻击称之为多因素身份验证疲劳攻击(MFA轰炸),目的是使受害者筋疲力尽不耐烦,直至允许攻击者更改其密码。而在关闭弹窗约15分钟后,Parth Patel又接到了一个自称是苹果客服的电话,“苹果客服”告知Parth Patel他的账户受到攻击,请他验证信息并提供一次性重置代码。谨慎的Parth Patel要求来电者提供他的个人信息以证实身份,然而——“他几乎全都说对了,从出生日期、电子邮件、电话号码到当前地址、历史地址。”幸运的是,Parth Patel有一个习惯,他会定期检查其个人信息在网上的泄漏情况,由此他发现对方的数据似乎来自PeopleDataLabs(一家B2B信息公司)。Parth Patel清楚记得PeopleDataLabs将他的名字与其他人搞混了,这让他立刻意识到整件事情都是一场骗局,避免了潜在的损失。这类事件意味着苹果iForgot系统可能存在速率限制漏洞,允许向用户连续发送重置请求。目前苹果尚未就此问题作出解释。而在苹果解决此问题之前,假如有用户遇到了类似的情况,建议一一取消重置密码提示,并挂断自称是苹果客服的可疑电话。编辑:左右里
资讯来源:X、macrumors
转载请注明出处和本文链接
模糊测试是一项专门的动态测试技术,它向软件提供了许多不同类型的输入,来强调其局限性并发现先前未被发现的缺陷。模糊测试软件向软件提供无效的输入,或是随机生成,或是特别制作以触发特殊的软件漏洞。然后,模糊测试监控应用程序的性能,监视软件崩溃、缓冲区溢出或其他不良和/或不可预知的结果。
文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458549131&idx=2&sn=9c4555bf5a8d04009f6bab88e564c52c&chksm=b18d4b0186fac217e252dde4f3c3d7f9d44c2cfcb1497f9e5e4d49f1afe020772601235568da&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh