Há uma vulnerabilidade no iOS que facilita o processo de roubo das credenciais da conta iCloud dos utilizadores, e tudo o que é necessário é um simples email.
A maioria das pessoas já estará habituada a nem dar credibilidade a qualquer email que lhes prometa uma forma fácil de ficar rica sem trabalhar; ou uma herança de milhões de dólares; ou que ganharam uma lotaria num qualquer país que nunca sequer visitaram. Mas, e se enquanto liam um email aparentemente banal vos surgisse a habitual caixa a pedir a autenticação da conta iCloud?
… Caso introduzam os vossos dados, já foram "fisgados"!
A vulnerabilidade descoberta por Jan Soucek aproveita-se de uma falha na app de email do iOS na interpretação de emails HTML, para fazer surgir uma caixa de autenticação do iCloud – que na verdade é uma caixa falsa, criada pelo próprio email. A mail.app não deixa executar javascript num email, mas para este efeito basta HTML e CSS para que um atacante se possa apoderar dos dados que forem introduzidos pela vítima; que poderá ser iludida em erro, uma vez que não é incomum que o pedido para autenticação na iCloud possa surgir de forma inesperada.
O mais caricato é que esta falha já foi reportada à Apple em Janeiro, mas até ao momento ainda não foi corrigida, o que levou o investigador a revelar publicamente a vulnerabilidade. Esperemos que com a pressão "do público", a correcção seja mais célere.
Se se depararem com um destes pedidos e quiserem tirar as dúvidas, o mais fácil será regressarem à home page, e verem se a caixa continua a surgir – e se sim, é porque é mesmo a sério. Se desaparecer… então acabaram de se livrar de uma potencial surpresa desagradável.
via abertoatedemadrugada