Depois de ter sido descoberto um bug que fazia o iPhone/iPad ou até mesmo um Apple Watch reiniciar, a Apple volta a ter um problema de segurança para resolver. Desta vez a vulnerabilidade encontra-se ao nível da app de e-mail nativa do iOS, permitindo aos piratas informáticos lançar ataques de Phishing.
De salientar que este bug já existe desde o iOS 8.1.1, que foi lançado em Novembro de 2014.
O alerta foi dado por Jan Soucek (via 9to5Mac) que deu a conhecer a existência de um bug na app nativa de e-mail do iOS, depois de este ter criado toda a estrutura para simular o ataque. Segundo Soucek, explorando o bug detectado é possível executar remotamente código HTML quando o e-mail é aberto. Isto significa que, por exemplo, esse pedaço de código HTML pode ser usado para criar uma caixa de autenticação (ex. autenticação do iCloud) e levar os utilizadores a introduzir as suas credenciais . Depois do utilizador introduzir as credenciais, estas são passadas via método GET para o lado do atacante.
Para mostrar como tudo acontece, Soucek criou um pequeno vídeo onde criou uma prova de conceito deste tipo de ataques de Phishing. Com a exploração deste bug, o atacante pode criar o tipo de formulário que pretender e, assim, obter as informações que necessita da vítima (isto se a vítima não se aperceber do ataque).
De acordo com as informações, a Apple ainda não tem solução para o problema mas Soucek até já disponibilizou, ao público em geral, o iOS 8.3 Mail.app inject kit (que obviamente não deve se usado por ninguém para realizar ataques), a plataforma usada para realizar este tipo de ataques.