iOSのメールアプリにパスワード盗める脆弱性- BetaNews

BetaNewsは6月11日(米国時間)、「iOS Mail vulnerability lets hackers steal your passwords」において、iOSのメールアプリに脆弱性が存在しており、攻撃者はメールを送るだけでパスワードなどの機密情報を窃取できると注意を呼びかけている。

メールアプリのビューアではJavaScriptが無効化されているが、特定の処理を行うとHTML/CSSによる表示が可能になるという。こうした穴を突いて遠隔からHTMLコンテンツをダウンロードして表示させるといったことが可能になるため、例えば、iCloudのパスワード入力画面と同じ画面を故意に作成してユーザからパスワードを盗み出すといったことができてしまうと説明がある。ユーザは正規のダイアログと偽物のダイアログを見分けることができない。

この脆弱性を悪用するための簡易キットがすでに公開されているため、迅速な対応が求められる。このバグは2015年1月にAppleへ報告されているが、修正される気配が見られないことから、今回の脆弱性公開および開発キットの公開に至ったという。メールを開いてパスワードの入力画面が表示されるような場合は注意が必要。