Fehler in Mail für iPhone und iPad können verwendet werden, um Ihr iCloud-Passwort zu entführen

 iOS 8 Mail iPhone 6 Screenshot 001

Ein schwerwiegender Fehler in Apples Stock Mail-Anwendung für iPhone, iPod touch und iPad ermöglicht es Angreifern, Benutzer dazu zu bringen, ihre iCloud-Anmeldeinformationen anzugeben.

Solche Phishing-Angriffe können verheerend sein, da iCloud immer mehr zur Heimat unseres digitalen Lebens im Apple-Universum wird, einschließlich unserer Fotobibliotheken, Notizen, Kontakte und anderen personenbezogenen Daten.

Der Betrug nutzt einen Exploit in der Mail-Anwendung aus, der es einfach macht, überzeugend aussehende Pop-ups, die iCloud-Passwort-Eingabeaufforderungen ähneln, über eine einfache E-Mail-Nachricht, The Register, zu versenden gemeldet Mittwoch.

Während solche E-Mails so aussehen, als kämen sie von einem echten Unternehmen, sind sie gefälscht, und sobald ein ahnungsloser Benutzer sie auf seinem iPhone, iPod touch oder iPad mit iOS 8.3 öffnet, führt das Betriebssystem darin eingebettete schädliche HTML-Inhalte aus.

Der Exploit ergibt sich aus der Tatsache, dass Apples Mail-Anwendung eine wichtige Codezeile in eingehenden E-Mails ignoriert, die Ihr iOS-Gerät anweist, eingebetteten HTML-Code auszuführen.

Der schädliche HTML-Code ahmt ein iOS-Formular nach, in dem Sie nach Ihrem iCloud-Nutzernamen und -Passwort gefragt werden. Natürlich ist es eine Fälschung und sollte sofort entlassen werden. Hier ist eine kurze Demonstration eines Proof-of-Concept-Angriffs auf den Mail-Client von iOS 8.3.

Der Sicherheitsforscher Jan Souček entdeckte den Fehler erstmals im Januar dieses Jahres.

„Im Januar 2015 stieß ich auf einen Fehler im E-Mail-Client von iOS, der dazu führte, dass HTML-Tags in E-Mail-Nachrichten nicht ignoriert wurden“, sagte er.

„Dieser Fehler ermöglicht das Laden von Remote-HTML-Inhalten, wodurch der Inhalt der ursprünglichen E-Mail-Nachricht ersetzt wird. JavaScript ist in dieser UIWebView deaktiviert, aber es ist immer noch möglich, einen funktionalen Passwort-Sammler mit einfachem HTML und CSS zu erstellen.“

Es ist unklar, warum Apple diese offensichtliche Schwachstelle fast sechs Monate lang nicht gepatcht hat, aber Januček war unbeeindruckt.

Unzufrieden darüber, dass das Unternehmen nicht schnell gehandelt hat, um den Exploit zu patchen, beschloss Souček, den Code unter zu veröffentlichen GitHub um das Bewusstsein für Social Engineering zu stärken. Das Problem ist, dass er Power-Usern dadurch möglicherweise die Möglichkeit gibt, Phishing-Angriffe auf ahnungslose Besitzer von iOS-Geräten auszuführen.

Personen, die die Standard-Mail-App nicht verwenden, laufen nicht Gefahr, dass ihre iCloud-Anmeldeinformationen mit dieser Angriffsmethode gehackt werden.

Der beste Ratschlag, den ich jedem geben kann, ist folgender: Sie sollten es um jeden Preis vermeiden, Ihren iCloud- oder Apple-ID-Benutzernamen und Ihr Kennwort in eine App oder ein Dialogfeld einzugeben, es sei denn, Sie sind sich absolut sicher, dass die Eingabeaufforderung vom Betriebssystem selbst stammt .

Ignorieren Sie im Fall dieses speziellen Fehlers jede Aufforderung, die angezeigt wird, wenn Sie Apple Mail auf Ihrem iPhone, iPod touch oder iPad verwenden.

Quelle: Das Register