La vulnerabilità di Apple iOS può essere sfruttata per rubare ID utente e password con un'email di phishing

La vulnerabilità nel sistema Apple iOS consente agli hacker di rubare ID utente e password con un’email di phishing

Una dimostrazione da parte di un esperto di sicurezza mostra come sfruttare una suscettibilità nel sistema Apple iOS che può essere sfruttata per caricare contenuti HTML remoti arbitrari nell’applicazione.

All’inizio di questa settimana, Jan Soucek ( @jansoucek), un ricercatore ceco, ha pubblicato un codice proof-of-concept (PoC) e un video per dimostrare le sue scoperte.

A gennaio, l’esperto ha scoperto che il client email iOS (Mail.app) non considera il tag HTML nei messaggi email. Questo consente a un hacker di progettare email che caricano contenuti HTML remoti quando vengono aperti.

“JavaScript è disabilitato in questo UIWebView, ma è comunque possibile costruire un ‘collettore’ di password funzionale utilizzando semplice HTML e CSS,” ha detto Soucek.

Un video (qui sotto) pubblicato dal ricercatore dimostra come un hacker possa inviare un’email di phishing che richiede ai destinatari di inserire le proprie credenziali iCloud. Il nome utente e la password raccolti dalla vittima vengono poi inviati via email all’hacker.

Gli utenti hanno notato che un tale attacco è probabile che funzioni contro molti utenti di internet perché non è insolito che vengano chiesti di inserire le proprie credenziali iCloud e la finestra di dialogo genuina creata da Apple è semplice da riprodurre.

Soucek ha pubblicato il codice sorgente per un “kit di iniezione” iOS 8.3 su GitHub. L’esperto ha sottolineato che questa è solo un’illustrazione per mostrare l’esistenza della suscettibilità, che può essere utilizzata anche per altri attacchi e non solo per il raccolta di credenziali.

“La vulnerabilità può essere utilizzata per qualsiasi cosa che richieda tag HTML non supportati da Mail.app,” ha spiegato Soucek.

Secondo il ricercatore, a gennaio, aveva portato il difetto all’attenzione di Apple attraverso il sistema di tracciamento bug Radar dell’azienda. Tuttavia, poiché Apple non ha preso alcuna misura, ha ora deciso di divulgare la suscettibilità al pubblico.

Sebbene, questa settimana Apple abbia rilasciato la prima beta di iOS 9 e iOS 8.4 Beta 4; tuttavia, non è chiaro se queste versioni affrontano la suscettibilità. Anche se i difetti vengono corretti, queste varianti sono attualmente utilizzabili solo dagli sviluppatori.

Graham Cluley, analista di sicurezza indipendente, ha attirato l’attenzione di tutti sul codice pubblicato dal ricercatore che potrebbe essere utilizzato dai ladri d’identità e dagli hacker malintenzionati.

“Anche se posso capire la sua frustrazione per la mancanza di risposta di Apple per risolvere il problema, Soucek avrebbe potuto esercitare pressione sull’azienda dimostrando il difetto ai media tecnologici, piuttosto che rilasciare codice di sfruttamento per un potenziale uso improprio. Nel frattempo, mentre aspettiamo che Cupertino rilasci una patch, sarebbe più saggio esercitare estrema cautela ogni volta che appare un pop-up inaspettato mentre consultiamo la nostra casella di posta Mail, oppure utilizzare un’app email di terze parti,” ha scritto Cluley in un post sul blog per Tripwire.

Video PoC :