image

Lek in iOS Mail-app laat aanvaller externe HTML laden

maandag 8 juni 2015, 15:26 door Redactie, 9 reacties

Een onderzoeker heeft een lek in de iOS Mail-app onthuld waardoor een aanvaller externe HTML in e-mailberichten kan laden, waarmee het vervolgens mogelijk is om zeer overtuigende phishingaanvallen uit te voeren. De kwetsbaarheid werd in januari van dit jaar door onderzoeker Jan Soucek ontdekt.

De iOS mailclient blijkt een bepaalde HTML-tag in e-mailberichten niet te negeren. Daardoor kan HTML-content worden geladen die de inhoud van het originele e-mailbericht vervangt. Sourcek rapporteerde het probleem in januari aan Apple, maar omdat er nog altijd geen oplossing is verschenen besloot Soucek nu een proof-of-concept van zijn aanval te publiceren. Zo is het mogelijk om via de e-mail de gebruiker een pop-up te tonen die lijkt op een legitiem inlogvenster. In werkelijkheid is het een kwaadaardige pop-up die het ingevulde wachtwoord naar de aanvaller doorstuurt, zo blijkt uit onderstaande demonstratievideo.

Image

Reacties (9)
08-06-2015, 15:43 door 0101 - Bijgewerkt: 08-06-2015, 15:50
Uit de voorbeeld e-mail blijkt dat het gaat om een zogeheten meta-refresh; hiermee kan een ondersteund programma worden doorgestuurd naar een ander webadres. Zie https://en.wikipedia.org/wiki/Meta_refresh.

Broncode voorbeeld e-mail: https://github.com/jansoucek/iOS-Mail.app-inject-kit/blob/master/email.html

Overigens kan dit ook gebruikt worden om het gelezen worden van e-mails te tracken.
08-06-2015, 16:23 door Anoniem
html hoort niet in email
08-06-2015, 16:29 door Anoniem
Door Anoniem: html hoort niet in email

Denk ik toch anders over en als ik naar alle grote mail clients kijk, de applicaties en hun ontwikkelaars ook.

Niet iedereen gebruikt alles op dezelfde manier mensen, houdt daar rekening mee.
08-06-2015, 16:47 door beamer
Hmm, ik krijg geen pop-up te zien op mijn iphone met IOS 8.3...
08-06-2015, 18:24 door Anoniem
Door Anoniem:
Door Anoniem: html hoort niet in email

Denk ik toch anders over en als ik naar alle grote mail clients kijk, de applicaties en hun ontwikkelaars ook.

Niet iedereen gebruikt alles op dezelfde manier mensen, houdt daar rekening mee.

html in mail is een hele belangrijke speler in de markt voor malafide praktijken. Het klikken, tracking etc. etc. is m.i. allemaal onnodig. Een kleurtje zou nog wel kunnen maar veel verder moet het niet gaan.
08-06-2015, 19:50 door Anoniem
Door Anoniem:
Door Anoniem: html hoort niet in email

Denk ik toch anders over en als ik naar alle grote mail clients kijk, de applicaties en hun ontwikkelaars ook.

Niet iedereen gebruikt alles op dezelfde manier mensen, houdt daar rekening mee.

Nee, hij heeft gelijk, html is bedoeld om hypertext documenten mee te (be)schrijven en een groot deel van de mogelijkheden daarvan zijn niet gewenst in e-mail.
08-06-2015, 20:51 door Anoniem
een goed idee om dit lek dan te dichten in Ios 8.4
09-06-2015, 10:17 door karma4
Kale tekst zoals email ooit begonnen is, smelt niet. Vanuit marketing en communicatie wil men plaatjes kleuren en wat niet meer als brief. Gevolg HTML glas java en alles wat men verder verzint voor het oog.
Dat veiligheid een probleem zou kunnen zijn is voor die mensen bijzaak.

Alert blijven op die gevolgen lijkt me zeer gewenst. Geen blauwe ogen vertrouwen. Ook al vind je HTML mime ongewenst je zult die marketeers en andere communicatiedeskundigen daarmee niet tegenhouden.
10-06-2015, 11:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: html hoort niet in email

Denk ik toch anders over en als ik naar alle grote mail clients kijk, de applicaties en hun ontwikkelaars ook.

Niet iedereen gebruikt alles op dezelfde manier mensen, houdt daar rekening mee.

html in mail is een hele belangrijke speler in de markt voor malafide praktijken. Het klikken, tracking etc. etc. is m.i. allemaal onnodig. Een kleurtje zou nog wel kunnen maar veel verder moet het niet gaan.
Door Anoniem:
Door Anoniem:
Door Anoniem: html hoort niet in email

Denk ik toch anders over en als ik naar alle grote mail clients kijk, de applicaties en hun ontwikkelaars ook.

Niet iedereen gebruikt alles op dezelfde manier mensen, houdt daar rekening mee.

Nee, hij heeft gelijk, html is bedoeld om hypertext documenten mee te (be)schrijven en een groot deel van de mogelijkheden daarvan zijn niet gewenst in e-mail.

Zoals ik uitlegde, niet iedereen gebruikt mail op dezelfde manier.
Gebruikersgemak hoort niet gebukt te gaan onder een security beleid, een balans is van belang.
Als er een kans bestaat op een auto ongeluk, gaat men toch ook niet lopen?
Er bestaan alsnog risico's, al zijn het andere risico's.

Als de implementatie van HTML niet secure is voor mail, dan misschien eens dat onder de loep houden inplaats van gelijk het helemaal plat te branden en direct terug te keren naar kale tekst.

Of kunnen we ook terug naar geen GUI voor een OS ?
Vooruit denken mensen, niet achteruit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.