Kwetsbaarheid in Mail-app van iOS ontdekt
De hackers kunnen een e-mail versturen waarvan het lijkt alsof het vanuit een echt bedrijf is verzonden, terwijl het in realiteit wordt gebruikt om wachtwoorden te stelen via een authentiek uitziende pop-up die iPhone en iPad gebruikers eenvoudig in de val kan lokken. Soucek stelde Apple in januari al op de hoogte van het probleem, echter heeft het bedrijf niet gereageerd op de melding en het probleem is daarnaast ook nog steeds aanwezig.
[sc:inpost-tekst ]Soucek besloot daarom om zijn bevindingen en proof-of-concept code te publiceren in de hoop dat Apple nu toch actie gaat ondernemen. “In januari 2015 ontdekte ik een bug in de Mail-app van iOS, waardoor HTML tags in email berichten niet werden genegeerd,” aldus Soucek.
“Deze bug maakt het mogelijk om HTML content op afstand in te laden, waarna de content van het originele bericht in de inbox wordt vervangen. JavaScript is uitgeschakeld in de UIWebView, maar het is nog steeds mogelijk om een functionele wachtwoord ‘verzamelaar’ te creëren door eenvoudige HTML en CSS code te gebruiken.”
“De bug met het identificatienummer #19479280 werd in januari aan Apple gerapporteerd, maar niet opgelost in updates die naar iOS 8.1.2 volgden.”
Volgens de onderzoeker is zijn gratis tool beter dan het gebruik maken van een formulier in een HTML e-mail, omdat het dan alleen gebruikers van de iOS-app treft. “Wanneer je de http-equiv methode gebruikt, dan wordt de externe pagina met het formulier alleen geladen wanneer het afkomstig is van een kwetsbaar iOS apparaat.”
“Het heeft weinig zin om naar een Apple ID te vragen met een iOS-achtige interface wanneer de e-mail vanuit Outlook of Gmail op je computer wordt geopend. Door de redirect meta tag te gebruiken wordt het formulier genegeerd door andere e-mail clients, en lijkt het op een regulier bericht.”
Apple heeft tot op heden nog niet gereageerd op de bug in de Mail-app van iOS.
[sc:adsense-tekst ]