Apple iOSの脆弱性がフィッシングメールでユーザーIDとパスワードを盗むために悪用される可能性

Apple iOSシステムの脆弱性により、ハッカーがフィッシングメールでユーザーIDとパスワードを盗むことが可能に

セキュリティ専門家によるデモンストレーションは、Apple iOSシステムの脆弱性を利用して、アプリケーション内にリモートの任意のHTMLコンテンツを読み込む方法を示しています。

今週初め、チェコの研究者Jan Soucek（@jansoucek）が、彼の発見の証拠を示すために概念実証（PoC）コードとビデオを公開しました。

1月、専門家はiOSメールクライアント（Mail.app）がメールメッセージ内の HTMLタグを考慮しないことを発見しました。これにより、ハッカーは開いたときにリモートHTMLコンテンツを読み込むメールを設計することができます。

「このUIWebViewではJavaScriptは無効ですが、シンプルなHTMLとCSSを使用して機能的なパスワード‘コレクター’を構築することは依然として可能です」とSoucekは述べました。

研究者が公開したビデオ（以下に示す）は、ハッカーが受信者にiCloudの認証情報を入力するよう求めるフィッシングメールを送信する方法を示しています。被害者から収集されたユーザー名とパスワードは、ハッカーにメールで送信されます。

ユーザーは、このような攻撃が多くのインターネットユーザーに対して機能する可能性が高いことに気づいています。なぜなら、iCloudの認証情報を入力するよう求められることは珍しくなく、Appleによって作成された本物のダイアログボックスは再現が簡単だからです。

Soucekは、iOS 8.3用の「インジェクトキット」のソースコードをGitHubに公開しました。専門家は、これは脆弱性の存在を示すための単なる例であり、認証情報の収集だけでなく、他の攻撃にも利用できることを指摘しています。

「この脆弱性は、Mail.appがサポートしていないHTMLタグを必要とするものであれば、何にでも使用できます」とSoucekは説明しました。

研究者によると、1月に彼はAppleのRadarバグトラッキングシステムを通じてこの欠陥をAppleに通知しました。しかし、Appleが何の行動も取らなかったため、彼はこの脆弱性を公に開示することを決定しました。

今週、Appleは最初のiOS 9ベータ版とiOS 8.4ベータ4をリリースしましたが、これらのバージョンが脆弱性に対処しているかどうかは不明です。欠陥が修正された場合でも、これらのバージョンは現在開発者専用です。

独立したセキュリティアナリストのGraham Cluleyは、研究者が公開したコードが身元盗難者や悪意のあるハッカーによって良い目的に使用される可能性があることに注目を集めています。

「Appleの問題修正に対する反応の欠如に対する彼のフラストレーションは理解できますが、Soucekは潜在的な悪用のためにエクスプロイトコードを公開するのではなく、テクノロジーメディアに脆弱性を示すことで会社に圧力をかけることができたかもしれません。一方、クパチーノがパッチを展開するのを待つ間、私たちのメール受信箱を閲覧中に予期しないポップアップが表示された場合は、極度の注意を払うか、代わりにサードパーティのメールアプリを使用するのが最も賢明でしょう」とCluleyはTripwireのブログ投稿で書いています。

Poc Video :