Новый баг в приложении iOS Mail был недавно обнаружен специалистом по безопасности Яном Соучеком (через The Register). Вредоносный баг способен доставлять поддельные запросы на вход в iCloud, позволяя загружать удаленный HTML-контент через электронное письмо, отправленное предполагаемой жертве. Затем баг отображает убедительное окно входа в iCloud, чтобы пользователи повторно ввели свой Apple ID и пароль. Соучек утверждает, что Apple не отреагировала на его обнаружение бага, когда он наткнулся на него в январе.

«В январе 2015 года я наткнулся на баг в почтовом клиенте iOS, в результате чего HTML-тег в электронных письмах не игнорировался. Этот баг позволяет загружать удаленный HTML-контент, заменяя содержимое исходного электронного письма. JavaScript отключен в этом UIWebView, но все еще возможно создать функциональный «сборщик» паролей, используя простой HTML и CSS.»

Однако баг не ограничивается только фишинговыми атаками на iCloud, позволяя любому, кто имеет к нему доступ, настраивать атаку для запроса любых учетных данных пользователя и пароля, которые им понадобятся. Соучек держал детали бага только между собой и Apple, давая компании время, возможно, исправить атаку и сообщить ему о прогрессе. Учитывая сохраняемое молчание компании по этому вопросу, он решил опубликовать доказательство концепции — названное Mail.app inject kit — на GitHub в надежде распространить информацию о нем.

«Это было зарегистрировано под Radar #19479280 в январе, но исправление не было доставлено ни в одном из обновлений iOS после 8.1.2. Поэтому я решил опубликовать здесь код доказательства концепции.»

В то время как действия Соучека привлекают большее внимание к вредоносному багу и могут помочь остановить его со временем, это также означает, что у фишеров есть больше возможностей для его самостоятельного использования. Пока Apple не прокомментирует эту историю и не предложит исправление для бага, безопаснее всего будет соблюдать осторожность, когда при просмотре электронной почты в iOS появляется запрос на ввод пароля.