Ένα exploit kit που επιτρέπει την δημιουργία phishing e-mails και προσφέρει τα credentials σας σε τρίτους δημιούργησαν ερευνητές εκμεταλλευόμενοι τρύπα ασφαλείας στην εφαρμογή ηλεκτρονικού ταχυδρομείου λειτουργικού συστήματος της Apple.
Οι Ernst & Young σε συνεργασία με τον ερευνητή Jan Soucek που εντόπισε πρώτος την ευπάθεια, έφτιαξαν exploit kit που δύναται να δημιουργήσει iCloud password phishing emails, κάνοντας exploit σε μια τρύπα που δεν έχει διορθωθεί στο Mail.app της Apple, επηρεάζοντας εκατομμύρια χρήστες!
Ανέπτυξαν λοιπόν το iOS 8.3 Mail.app inject kit, που είναι ικανό να πραγματοποιήσει exploit στο unpatched bug του ηλεκτρονικού ταχυδρομείου της δημοφιλούς εταιρείας.
Η ευπάθεια σην εφαρμογή έχει εντοπιστεί ήδη από τις 15 Ιανουαρίου, όμως το Cupertino δεν έδωσε καμία απάντηση, ούτε έκανε κάποια ενέργεια για την διόρθωση του σφάλματος. Η αδιαφορία αυτή οδήγησε τον Soucek να δημοσιεύσει βίντεο με το PoC για να κινητοποιήσει την Apple.
“Η τρύπα αυτή επιτρέπει την φόρτωση απομακρυσμένου περιεχομένου HTML και έπειτα την αντικατάσταση του περιεχομένου του αρχικού μηνύματος e-mail. To JavaScript είναι απενεργοποιημένο σ’ αυτό το UIWebView, παρόλα αυτά συνεχίζει να είναι εφικτή η ανάπτυξη μιας σελίδας που συλλέγει passwords κάνοντας χρήση απλών HTML και CSS.”
Οι εισβολείς εκμεταλλευόμενοι το δωρεάν kit που δημιούργησαν οι ερευνητές, μπορούν να πραγματοποιήσουν εκστρατείες phishing συλλέγοντας ό,τι credentials θέλουν. Τα θύματα πιθανότατα δεν θα αντιληφθούν απολύτως τίποτα, το μόνο που θα δουν θα είναι ένα pop-up στο Mail.app τους…
