Un fallo en la aplicación Mail de Apple permite robar las contraseñas de iCloud.

Si eres usuario de la aplicación de iOS para gestionar el correo electrónico, Mail, esto te interesa. El investigador de seguridad Jan Soucek ha publicado en GitHub una peligrosa vulnerabilidad que afecta a esta app nativa de Apple.

El experto creó un código que funciona con iOS 8.3 y se aprovecha de un fallo en la app Mail. Si un atacante envía un correo a un usuario que usa esta herramienta de email, aparece un pop-up en la pantalla que solicita la contraseña de iCloud.

El pop-up es falso, pero parece totalmente auténtico. Un claro ejemplo de phishing e ingeniería social. Pero, ¿qué ocurre si introduces tu contraseña? Que se la estarías enviando al atacante, que tendrá todo lo que necesita para acceder a tu cuenta de iCloud.

Al parecer el experto en seguridad descubrió el bug en enero, cuando lo notificó a la compañía. Pero esta por el momento, no ha solucionado el fallo, por eso Soucek decidió publicarlo.




Según explica el investigador, el fallo permite inyectar contenido HTML remoto, reemplazando el contenido original del correo. De esta forma, se puede crear una herramienta para obtener las contraseñas con un simple HTML y CSS.

Soucek ha creado un vídeo en el que explica y realiza una demostración de este fallo de seguridad:




No caigas en la trampa

Como consejo: si recibes un email en alguno de tus dispositivos de Apple (Mac, iPhone o iPad) que contiene un enlace que solicita una contraseña, ciérralo, sin introducir por supuesto ningún dato.

¿Si ya lo has introducido? Modifica lo antes posible la contraseña de acceso a la cuenta y las de los servicios que usaran la misma credencial. Recuerda que no deberías reutilizar las contraseñas, un hábito que podría acarrearte problemas.


LINK CODE: https://github.com/jansoucek/iOS-Mail.app-inject-kit/tree/master

FUENTE| globbsecurity

Apple y su fallos siempre tienen algun problemilla