iOSメールアプリのバグにより、攻撃者がメールを開いた際にリモートHTMLコードを実行できる可能性があります。この攻撃は、iCloudログインを模倣し、ユーザーのApple IDログイン情報を取得するために利用される可能性があります。
9to5Mac:
セキュリティ研究者のJan Soucek氏は、iOSのメールアプリにバグを発見しました。このバグにより、攻撃者はメールを開いた際にリモートでHTMLコードを実行できる可能性があります。このコードはiCloudのログインプロンプトを簡単に模倣し、ユーザーを騙してApple IDの認証情報を入力させてしまう可能性があります。
このコードは、任意の Web サイトやサービスを模倣するために使用したり、攻撃者が望む任意の HTML または CSS コードを実行したりするために使用できます。
ソウセック氏は、iOS 8.1.1のバグを初めて発見した際、Appleにバグレポートを提出したと述べています。Appleにバグ修正の時間を与えるため、その情報は伏せていました。しかし、それから5ヶ月が経過した現在もAppleは問題を修正していないため、このリスクについて公表することにしたとのことです。
「1月にRadar #19479280として報告されましたが、iOS 8.1.2以降のアップデートでは修正が反映されませんでした。そこで、概念実証コードをここに公開することにしました。」
Soucek氏はGitHubに実証実験または概念実証をアップロードしました。これはバグの存在を人々に知らせ、Appleにバグ修正を迫る圧力となる一方で、悪意のある人物がコードの存在を知ることになるということを意味します。
現時点での最善の行動は、安全策を講じることです。iOSメールの使用中に表示されるログインポップアップは、悪意のある人物からのものだと想定してください。iOSデバイスでiCloudやその他のログインの再認証が本当に必要な場合は、メールを使用していないときにプロンプトが表示されるまで待ってください。
