Apple je potvrdio da je najnovijoj nadogradnji za iOS zakrpio bug koji je hakerima omogućavao da se predstave kao drugi korisnici prilikom konektovanja na web sajtove koji ne koriste enkriptovane cookiese za autentifikaciju.
Kako prenosi Ars Technica, ovaj bug je bio rezultat dijeljenja informacija o pohranjenim cookiesima između Safari web browsera i drugih embedded browsera, korištenih za komunikaciju sa "captive portalima" koji bi se aktivirali prilikom prvog konektovanja na određene Wi-Fi mreže.
Hakeri su iskorištavanjem ovog buga mogli ukrasti korisničke HTTP cookiese asocirane sa sajtom po njihovom izboru, tako se predstavljajući kao dotični korisnici, a na raspolaganju su imali i opciju session fixation napada tako što bi korisnika logirali na određeni account koji sami kontrolišu. Pored toga, ovaj bug je hakerima omogućavao i da izvode cache-poisoning napade na određene web sajtove, što u prevodu znači da su mogli aktivirati zlonamjerni JavaScript kod svaki put kada bi se korisnik konektovao na te sajtove korištenjem Mobile Safari web browsera.
Komentari 0 KOMENTARA
Komentiraj