В приложении Mail нашли новый баг, позволяющий красть пароли

mail-icon-ios-7-3

Специалист по сетевой безопасности, некто Jan Soucek, с января 2015 года пытался рассказать Apple о новом баге в приложении Mail, но ответ из Купертино так и не последовал. А зря. Jan обнаружил «дыру», с помощью которой можно создать всплывающее окно, один в один копирующее iCloud, куда ничего не подозревающий пользователь пропишет свой пароль, а затем получит «утешительное» письмо от злоумышленника с благодарностью за отправленные данные.

Собрав последние надежды, Soucek выложил код на Github под названием «Mail.app inject kit» и снова стал ждать, когда административные кадры Apple обратят на него внимание. Сам специалист описывает открытие следующим образом:

В январе 2015 я наткнулся на баг в почтовом клиенте iOS, работающий в HTML-теге полученного письма. Уязвимость позволяет удалённо загрузить HTML-контент, заменив содержимое оригинального сообщения. Несмотря на то, что JavaScript в этом случае выключается, сохраняется возможность соорудить «сборщик» паролей из банальных HTML и CSS.

Дотошный пользователь сразу насторожится, так как редкое письмо будет тут же требовать от вас данные для входа в Apple ID. Более доверчивым следует взять эту инструкцию на заметку.