iOS 8.1.2~8.3のメールアプリに脆弱性、偽のポップアップでApple IDのログイン情報が盗み取られる恐れ

当サイトの記事には広告が含まれます。

 IOSMail app htmlinjectionbug 01

iOS 8.1.2 ~ 8.3のメールアプリで、HTMLインジェクションバグが発見されました。このバグを悪用すれば、iCloudのパスワード入力を促す偽のポップアップを表示して、Apple IDのログイン情報を盗み取ることが可能になります。

このバグを発見したのはJan Souček氏。今年1/15の時点ですでに発見しておりAppleにも連絡したそうですが、数ヶ月経ってもアップデートによる修正が行われなかったので、GitHubにツールを公開することでAppleに修正を促すと共に、ユーザーに注意喚起を行うという手段に移ったということです。

IOSMail app htmlinjectionbug 03

公開されたツールは、2つのphpと1つのhtmlファイル、そして収集したパスワード情報を保存するtxtファイルで構成されたシンプルなもの。

phpファイルとtxtファイルをサーバーにアップロードして、htmlファイルのmetaをそのURLに書き換えてHTMLメールとして送信。受け取った側がメールを開くと、偽のiCloudログインポップアップが表示されます。

そこにパスワードを入力すると、サーバーにあるtxtファイルに内容が送信されます。それと同時に、ユーザー側にはダミーの確認メールが送信されるので、ユーザーに怪しまれること無くApple IDのログイン情報を収集できる仕組みになっています。

IOSMail app htmlinjectionbug 02

そもそも、メールでポップアップが開いてApple IDのログインを促す時点でめちゃめちゃ怪しいのですが、寝ぼけていたりぼーっとしていると案外騙される可能性もあるので、一応注意しておきましょう。

関連するエントリー

PR

楽天モバイル