Alors que la firme à la pomme tient sa conférence annuelle WWDC pour les développeurs, le chercheur en sécurité Jan Soucek n'a pas trouvé meilleur calendrier pour divulguer une vulnérabilité affectant le client de messagerie natif Mail sur iOS.
Il publie ainsi une preuve de concept mais précise toutefois avoir découvert la faille en janvier dernier. S'il a prévenu Apple à cette période, ladite faille n'a pas été comblée dans les mises à jour d'iOS qui ont suivi la version 8.1.2. Désormais, ce sont aussi les utilisateurs - et cybercriminels - qui sont prévenus tandis que pression est faite pour pousser Apple à réagir.
Le chercheur en sécurité explique qu'un bug dans Mail pour iOS a pour conséquence de permettre le chargement d'un contenu HTML distant qui remplace le contenu original d'un email. En l'occurrence, grâce à une balise méta de redirection vers une page.
En exploitant ce bug, il devient possible à un simple formulaire HTML de tromper son monde comme dans une preuve de concept où après la réception d'un email, l'utilisateur croit être en face d'une demande de connexion iCloud en bonne et due forme dans un pop-up.
N'importe quel code arbitraire HTML et CSS peut être exécuté. Reste aux attaquants à faire preuve d'imagination dans leurs tentatives de phishing. Méfiance donc avec les étranges demandes de connexion lors d'une utilisation de Mail sur iOS.
