Poważny błąd w systemie Apple iOS pozwala wykraść hasło do iCloud

Zarówno Apple, jak i Google nie mają ostatnio dobrej passy jeśli chodzi o ich mobilne systemy operacyjne. Obie firmy zanotowały w ostatnich miesiącach spore wpadki, np. z premierą iOS 8 oraz błędami w Androidzie Lollipop. To jednak nie koniec problemów, bowiem okazuje się, że system Apple ma poważny błąd, dzięki któremu łatwo można wykraść hasło użytkownika do chmury iCloud – jak informuje Ars Technica.

Błąd dotyczy konkretnie systemowej aplikacji Mail.app do obsługi kont pocztowych. Jest to domyślny program do e-maili w systemie Apple iOS. Usterka pojawiła się w wersji 8.3, która została wydana na początku kwietnia i cały czas jest obecna w aplikacji.

O co konkretnie chodzi? Mail.app nie potrafi wykryć kodu HTML, który może być niebezpieczny dla użytkownika. W wiadomości do danej osoby można wysłać kod, przez który z zewnętrznego serwera jest pobierany formularz, który wygląda identycznie jak ten do logowania się do chmury iCloud. Nieświadomi użytkownicy mogą w ten sposób podać atakującemu swoje dane, tzn. login i hasło. Błąd polega na tym, że aplikacja pozwala na podmianę w wiadomości oryginalnego kodu HTML na ten pobrany z serwera. Co więcej, nie potrzeba do tego specjalnych zdolności. Wystarczy prosty HTML w połączeniu z CSS-em (arkusz stylów).

Na szczęście Apple zdaje sobie sprawę z problemu i jest prosty sposób na uniknięcie niechcianego wycieku danych. Wystarczy tylko kliknąć przycisk home na urządzeniu, który przeniesie nas do ekranu domowego. Tego typu powiadomienia w systemie – o ile są prawdziwe – nie pozwalają użytkownikowi nic zrobić, dopóki nie kliknie w przycisk OK lub anuluj. Tymczasem fałszywy formularz logowania przeniesie nas do ekranu domowego i tym samym zyskamy pewność, że nie był prawdziwy. Jeśli formularz nada będzie się wyświetlał po wciśnięciu przycisku, to znaczy, że jest prawdziwy i można bezpiecznie wpisać swoje login i hasło.

Nieco niepokojące jest natomiast to, że Apple zna problem już od dawna i od tamtej pory nie wydało żadnej łatki naprawiającej. Co więcej, firma odmówiła komentarza w tej sprawie i tak naprawdę nie wiadomo, czy coś się w tej kwestii dzieje. Pozostaje mieć tylko nadzieję, że w kolejnej wersji aplikacji Mail.app na iOS-a nie będzie już tego błędu.