Un bug in Mail iOS mette a rischio la sicurezza dell’account iCloud degli utenti e non solo. Lo ha scoperto Jan Soucek, ricercatore di sicurezza il quale sostiene che un malintenzionato potrebbe sfruttare questa falla per creare falsi prompt di login di iCloud, auto-inviandosi poi i dati raccolti tramite email. Il bug – si legge su The Register – è in realtà stato scoperto già dal mese di gennaio. Apple, avvisata tempestivamente del problema, non ha ancora commentato la vicenda e, a quanto risulta, non ha ancora rilasciato una soluzione, visto che attualmente è ancora attivo. Nel video in calce all’articolo è possibile dare uno sguardo al funzionamento di un eventuale attacco.
Un hacker sarebbe in grado di inviare una email, magari rendendola il più simile possibile a quelle inviate solitamente da Apple, mostrando automaticamente un popup con gli spazi vuoti per l’inserimento dei dati di accesso iCloud. Nel caso in cui l’utente decidesse di compilarli, cliccando su OK la password sarebbe automaticamente inviata al malintenzionato. La cosa ancora più grave è che eventualmente un malintenzionato potrebbe tranquillamente personalizzare il popup, chiedendo magari dati di carte di credito e altro ancora (anche se in questo modo risulterebbe più evidente visto che quel tipo di finestra è utilizzata in iOS solo per i dati dell’account iCloud).
Eccetto Apple, Soucek conferma di non aver rivelato a nessun altro il metodo con cui è possibile sfruttare questa falla. Tuttavia, visto che la società di Cupertino in tutti questi mesi non ha ancora provveduto a trovare una soluzione, ha ritenuto giusto condividerne l’esistenza, in modo da allertare tutti gli utenti, una decisione che porta vantaggi e svantaggi: se infatti da un lato molti più utenti sono ora a conoscenza della falla, anche eventuali malintenzionati ora sanno che esiste questa opportunità e potrebbero utilizzarla a proprio vantaggio. Il consiglio sempre valido è quello di non inserire mai dati personali in questo genere di popup a seguito dell’apertura di una mail o di un sito web.