ios-cluod-iphone

Um pesquisador de segurança publicou um teste de conceito que, segundo ele, torna fácil a possibilidade de roubar senhas do iCloud via iOS.

Desde a versão 8.3 do iOS, o aplicativo do iCloud falha na hora de rechaçar o código HTML perigoso vindo de mensagens de e-mails recebidos. O teste de conceito demonstra esse erro, descarregando um formulário desde um servidor remoto, que é idêntico ao do login legítimo do iCloud, que aparece a cada vez que a mensagem perigosa é aberta.

O usuário do GitHub ‘jansoucek’ informa que o erro permite que conteúdos HTML remotos podem ser carregados, substituindo o conteúdo do e-mail original. O JavaScript está desativado, mas é possível construir um recoletor de senhas funcional com HTML e CSS.

Se você encontrar um e-mail suspeito que pode estar relacionado com essa falha, é recomendado que você cancele qualquer ação, sem introduzir qualquer coisa relacionada às suas credenciais de usuário. A diferença do formulário de login legítimo para o falso é que o primeiro é ‘modal’, não permitindo o usuário abrir outra coisa até que o OK ou o Cancelar seja pressionado, enquanto que o outro permite voltar na tela principal quando pressionado o botão Home.

O pior de tudo é que a Apple foi notificada desse erro em janeiro, e até agora não lançou nenhuma correção para o problema. E não é a primeira vez que a empresa mostra indiferença diante de uma falha de segurança. É esperado que esse bug seja corrigido no iOS 8.4.

 

Via ArsTechnica