新しい iOS メールのバグにより、iCloud のようなポップアップがユーザーのパスワードを盗む可能性がある

最近、iOS メール アプリが直面している新しいバグがセキュリティ専門家の Jan Soucek によって発見されました ( The Register 経由)。この悪意のあるバグは、対象の被害者に配信される電子メール メッセージを通じてリモート HTML コンテンツをロードできるようにすることで、偽の iCloud ログイン プロンプトを配信する可能性があります。このバグは、ユーザーが Apple ID とパスワードを再入力するための説得力のある iCloud ログイン ボックスを提供します。 Soucek 氏は、1 月にこのバグを偶然発見したとき、Apple はこのバグの発見に応じなかったと述べています。

「2015 年 1 月に、iOS のメール クライアントのバグに遭遇しました。その結果、 電子メール メッセージ内の HTML タグが無視されない。このバグにより、リモート HTML コンテンツが読み込まれ、元の電子メール メッセージのコンテンツが置き換えられる可能性があります。この UIWebView では JavaScript が無効になっていますが、単純な HTML と CSS を使用して機能的なパスワード「コレクター」を構築することは可能です。

ただし、このバグは iCloud フィッシング攻撃だけに限定されているわけではなく、このバグにアクセスできるユーザーは誰でも、必要と感じるユーザー名とパスワードの資格情報を要求するように攻撃をカスタマイズできます。 Soucek 氏はバグの詳細を Apple との間だけで秘密にし、おそらく攻撃を修正し、その進捗状況を彼に知らせる時間を会社に与えました。この件に関して同社が依然として沈黙を保っていることを考慮して、同氏は、その認識を広めることを期待して、「Mail.app インジェクト キット」と呼ばれる概念実証を GitHub で公開することに決めた。

「この問題は 1 月に Radar #19479280 として提出されましたが、8.1.2 以降の iOS アップデートでは修正が提供されませんでした。そこで、概念実証コードをここで公開することにしました。」

Soucek の行動により、この悪意のあるバグはより多くの人々の注目を集め、適切な時期に阻止できる可能性がありますが、同時に、フィッシング詐欺師が独自にこのバグを展開する可能性が広がることも意味します。 Apple がこの件についてコメントし、バグの修正を提供するまでは、iOS で電子メールを閲覧中にパスワードのプロンプトが表示された場合は、予防措置を講じるのが最も安全です。