Una “leggerezza” nell’applicazione predefinita di Apple iOS utilizzata per la gestione dei messaggi di posta potrebbe causare non pochi problemi. Un aggressore potrebbe infatti riuscire a sottrarre le credenziali di login per iCloud e razziare il contenuto dell’account personale dell’utente.
Ancora è vivo il ricordo del ben orchestrato attacco che fu sferrato nei confronti di numerosi “volti noti” (Foto dei VIP: sottratti da iCloud i backup degli iPhone). Mentre in quel caso, però, si effettuò il brute forcing delle password sfruttando una debolezza del servizio Apple “Trova il mio telefono” (gli attacchi brute force, all’epoca, non venivano adeguatamente bloccati), questa volta è stata individuata una vulnerabilità che di fatto semplifica gli attacchi phishing e li rende estremamente efficaci.
Mail.app, il client email predefinito in iOS, non provvede a “neutralizzare” il codice potenzialmente pericoloso che dovesse essere rilevato nei messaggi di posta. Il risultato è che un aggressore può oggi far sì che il codice per la visualizzazione di un form di login del tutto simile a quello normalmente esposto da Apple venga automaticamente caricato da un server remoto, all’apertura del messaggio di posta.
Utilizzando i fogli di stile ed una caratteristica chiamata autofocus, che consente di nascondere la finestra di dialogo dopo l’inserimento delle credenziali di accesso, un aggressore può facilmente trarre in inganno l’utente ed indurlo ad inserire le sue credenziali iClous.
Il video seguente propone una dimostrazione dell’attacco che può essere sferrato anche nell’ultima versione di iOS (release 8.3), sia su iPhone che su iPad.
L’autore del proof-of-concept ha spiegato di aver informato i tecnici Apple già a gennaio ma di non aver ottenuto risposte convincenti. Non è improbabile, a questo punto, che la società di Cupertino possa rilasciare un aggiornamento risolutivo.