iOS Mail.app出现严重漏洞可致用户iCloud密码被盗

一名安全研究人员公开了一份攻击代码，并声称利用它就可以窃取使用最新iOS的iPhone及iPad机主的iCloud密码。

这个POC攻击使用的是iOS默认电子邮件Mail.app中的一个漏洞。自从四月初发布8.3版本后，这款app就没有恰当从收件箱中提取出潜在的危险HTML代码。POC代码漏洞利用通过从远程服务器中下载了与合法iCloud登录提示相似的一个表单。每次查看陷阱代码时它就会出现。

GitHub名为jansoucek的用户指出，“这个漏洞允许加载远程HTML内容，以替代原来的电子邮件信息。UIWebView会禁用JavaScript，但也有可能利用简单的HTML以及CSS来构建一个功能密码‘收集器’”。

为了掩盖行踪，漏洞利用代码可让密码提示只显示一次，而不是每次在查看恶意信息时都会提示。为了达到与合法提示相似的效果，攻击代码使用了autofocus的功能，一旦用户点击OK，它就会隐藏对话字段。触发这个漏洞的方式是发送一份带有<meta http-equiv=refresh>HTML标签的电子邮件以及一台托管着虚假登陆提示的联网电脑。Apple 邮件app的内部浏览器将会以很容易让一些人受骗的方式把图片嵌入电子邮件中。除了窃取密码之外，iOS缺陷还会发送“信号”以提示收件人谁查看了邮件、什么时候查看的、查看者的网址在哪里。

Errata安全公司首席执行官以及iPhone的长期使用者Rob Graham表示他认为这个漏洞很严重，因为iOS会不时地显示登录提示。他表示自己曾在周三知道这个漏洞之前收到这样的提示。他认为用户的应对措施是拒绝输入任何登录凭证并按“取消”按钮。多数时候用户不会承担恶劣后果，最坏的后果是会再次收到提示。当用户输入密码时应该确保没有显示邮件。

而更有经验的用户发现显示内容时会点击主页按钮并发现虚假提示。合法提示是“modal”，意思是按下“OK”或“取消”按钮之前不允许进行其他操作。而虚假的提示并非“modal”。如果显示有提示时按下主页按钮会在主屏上返回一台设备，这个提示就是一个骗局。

安全研究人员表示已将这个漏洞在一月份时报告给Apple，但后者至今仍未修复该问题。Apple目前暂未对此事回应，但可能会在8.4或者增量发行中修复该问题。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。