Ένας ερευνητής ασφάλειας δήλωσε ότι μια ευπάθεια στο mobile email application της Apple θα μπορούσε να χρησιμοποιηθεί για να εξαπατήσει τους χρήστες να αποκαλύψουν τους iCloud κωδικούς τους.
Ο Jan Soucek δημόσιευσε έναν proof-of-concept code (μπορείτε να τον δείτε κάνοντας κλικ εδώ) που αποδεικνύει πώς θα μπορούσε να στείλει ένα email σε κάποιον με HTML code που μοιάζει με αυτόν του iCloud login pop-up window. Ο Soucek θα λάβει έπειτα ένα email που θα περιέχει τον κωδικό πρόσβασης του χρήστη.
Η ευπάθεια επιτρέπει στο HTML content να φορτωθεί σε ένα email, το οποίο αντικαθιστά το περιεχόμενο του μηνύματος του email. Ο Soucek έγραψε ότι έχτισε έπειτα έναν password collector χρησιμοποιώντας HTML και CSS. Δημόσιευσε επίσης κι ένα βίντεο επίδειξης.
Βρήκε το bug τον Ιανουάριο και το έχει δηλώσει στην Apple. Το bug δεν επιδιορθώθηκε στο iOS 8.1.2, «επομένως αποφάσισα να δημοσιεύσω τον proof of concept code εδώ,» έγραψε ο Soucek . Οι ανώτεροι υπάλληλοι της Apple δεν σχολίασαν αμέσως.
Ο Soucek εξόπλισε τον exploit code έτσι ώστε το ψευδές iCloud authentication window να εμφανίζεται μόνο μιά φορά, κάτι το οποίο μειώνει την υποψία, έγραψε.
Η Apple έχει λάβει μέτρα για να ενισχύσει την ασφάλεια των iCloud accounts μετά την παραβίαση των λογαριασμών πολλών διάσημων προσωπικοτήτων που συνέβη πέρσι.
Τα iCloud accounts των διάσημων μπορεί να είχαν προσπελαστεί αφού οι χάκερς είχαν μαντέψει σωστά τα usernames και τα passwords τους, ή πιθανόν απαντώντας σωστά στις ερωτήσεις ασφαλείας που η Apple θέτει εάν ένας χρήστης έχει ξεχάσει τον κωδικό πρόσβασής του.
Είναι επίσης πιθανό οι προσωπικότητες να έπεσαν θύματα της τακτικής phishing που εξέθεσε ο Soucek, κάνοντας το γεγονός ακόμα πιο ανησυχητικό.
Με τα iCloud credentials, είναι δυνατό να γίνει download ολόκληρου του περιεχομένου ενός λογαριασμού σε μια συσκευή, συμπεριλαμβανομένων των φωτογραφιών, των μηνυμάτων κειμένου, των call logs, των βιβλίων διευθύνσεων, των ημερολογίων και άλλων πληροφοριών, αναλόγως με το τι έχει αποθηκεύσει ο καθένας στο iCloud.
