Oligur

• ニュース

iOS セキュリティ研究者の Jan Souček 氏は、iOS のメール クライアントに新たなバグを発見しました。このバグにより、ユーザーが誤って攻撃者に AppleID とパスワードを渡してしまう可能性があります。

メールアプリの脆弱性は2015年初頭に発見され、Appleのエンジニアはすぐにその存在を知らされましたが、iOS 8.1.2以降のアップデートでは、このバグの修正はリリースされていません。Souček氏によると、このバグによりリモートのHTMLコンテンツが読み込まれ、iCloudのサインインプロンプトそっくりのパスワードコレクターが構築可能になるとのこと。

バグが実際に発生しているビデオはこちらです:

Souček氏は、自身の発見を詳述したGitHubリポジトリの中で、このバグは1月にRadar #19479280に登録されたと述べています。Soucek氏はこの脆弱性を利用して、iCloudのパスワードを詐取するフィッシングメールを生成できるツールを作成しましたが、フィッシング詐欺師がこれをカスタマイズすることで、他のサービスからもパスワードを盗み出すことが可能でした。

修正が進行中かどうかについてAppleにコメントを求めたが、現時点ではコメントを得られていない。

出典: TheRegister