Apple je potvrdio da je najnovijoj nadogradnji za iOS zakrpio bug koji je hakerima omogućavao da se predstave kao drugi korisnici prilikom konektovanja na web sajtove koji ne koriste enkriptovane cookiese za autentifikaciju.
Kako prenosi Ars Technica, ovaj bug je bio rezultat deljenja informacija o skladištenim cookiesima između Safari web browsera i drugih embedded browsera, korišćenih za komunikaciju sa "captive portalima" koji bi se aktivirali prilikom prvog konektovanja na određene Wi-Fi mreže.
Hakeri su iskorišćavanjem ovog buga mogli ukrasti korisničke HTTP cookiese asocirane sa sajtom po njihovom izboru, tako se predstavljajući kao dotični korisnici, a na raspolaganju su imali i opciju session fixation napada tako što bi korisnika logovali na određeni account koji sami kontrolišu.
Pored toga, ovaj bug je hakerima omogućavao i da izvode cache-poisoning napade na određene web sajtove, što u prevodu znači da su mogli aktivirati zlonamerni JavaScript kod svaki put kada bi se korisnik konektovao na te sajtove korištenjem Mobile Safari web browsera.
Apple zakrpio veliki iOS bug
09:01
nema komentara
Postavi komentar
Vaš komentar: