Apple ha collezionato grandi applausi – ma soprattutto grandi risultati – durante il suo WWDC 2015, in particolare dopo la presentazione di determinate funzionalità di iOS 9; dietro le quinte, però, sembra sia successo qualcosa che potrebbe mettere in pericolo la sicurezza degli utenti: una vulnerabilità scoperta nell’app Mail di iOS, infatti, potrebbe permettere ad un utente malintenzionato di riprodurre un popup di inserimento password praticamente identico a quello di iCloud, inducendo il malcapitato in errore e rubando di fatto la sua password.
A fare la scoperta è stato Jan Sourcek, uno specialista di sicurezza di Ernst & Young, ed il bug approfitta di una vulnerabilità presente nell’app Mail, appunto, che ad oggi resta senza soluzione e potrebbe danneggiare milioni di utenti di iPhone, iPad e iPod touch: questo bug permetterebbe la sostituzione ed il caricamento di codice HTML remoto durante l’utilizzo della stessa app Mail, il che permette ad un utente malintenzionato di riprodurre un popup di richiesta password praticamente identico a quello “originale” di iOS.
Nel momento in cui l’utente inserirà il suo nome utente e la sua password, queste verranno recapitate direttamente al criminale di turno, con conseguenze che in qualche caso potrebbero rivelarsi assolutamente disastrose. Soucek afferma che, nonostante il bug sia stato scoperto e comunicato ad Apple nel Gennaio del 2015, non avrebbe ottenuto risposta e ad oggi sia ancora senza soluzione:
Lo scorso Gennaio 2015 mi sono imbattuto in un bug nel client mail di iOS, ovvero di un tag HTML nelle e-mail che non veniva ignorato. Questo bug permette il caricamento di codice remoto HTML, che può sostituire il contenuto del messaggio originale… è stato sottoposto [ad Apple] con [il ticket] #19479280, ma il fix non è arrivato in nessuno degli aggiornamenti successivi ad iOS 8.1.2.
Ad oggi Apple non ha comunicato notizia alcuna riguardo a questo bug, che resta attivo e può mettere in pericolo le credenziali di tantissimi utenti vista la similitudine della finestra di inserimento password “falsa” con quella vera: il consiglio, almeno fino a quando Apple non rilascerà un fix, è quello di evitare di inserire password nei prompt di iCloud mentre è aperta in primo piano l’app Mail.
Sourcek ha pubblicato un video che mostra il bug in azione: datevi un’occhiata!
