Een onderzoeker heeft een lek in de iOS Mail-app onthuld waardoor een aanvaller externe HTML in e-mailberichten kan laden, waarmee het vervolgens mogelijk is om zeer overtuigende phishingaanvallen uit te voeren. De kwetsbaarheid werd in januari van dit jaar door onderzoeker Jan Soucek ontdekt.
De iOS mailclient blijkt een bepaalde HTML-tag in e-mailberichten niet te negeren. Daardoor kan HTML-content worden geladen die de inhoud van het originele e-mailbericht vervangt. Sourcek rapporteerde het probleem in januari aan Apple, maar omdat er nog altijd geen oplossing is verschenen besloot Soucek nu een proof-of-concept van zijn aanval te publiceren. Zo is het mogelijk om via de e-mail de gebruiker een pop-up te tonen die lijkt op een legitiem inlogvenster. In werkelijkheid is het een kwaadaardige pop-up die het ingevulde wachtwoord naar de aanvaller doorstuurt, zo blijkt uit onderstaande demonstratievideo.
Deze posting is gelocked. Reageren is niet meer mogelijk.