Uma falha de segurança encontrada no aplicativo Mail, do iOS, permite que pessoas mal intencionadas roubem facilmente as senhas do iCloud das vítimas. O bug, que existe pelo menos desde janeiro, consiste em enviar uma mensagem com código HTML contendo uma falsa janela solicitando a senha do usuário — e que não é filtrada pelo cliente de email da Apple.

A vulnerabilidade, descoberta pelo pesquisador Jan Soucek, explora a incapacidade do Mail de filtrar tags HTML potencialmente perigosas. Quando a vítima recebe o email malicioso, uma janela idêntica à original, solicitando nome de usuário e senha, é exibida assim que a mensagem é aberta. E isso é um grande problema, se considerarmos que o iOS realmente costuma exibir a janela em momentos inesperados.

O vídeo mostra como a brecha pode ser explorada:

Como descobrir, então, se a janela é falsa? A diferença básica é que a original é modal, ou seja, você não conseguirá fazer basicamente nada enquanto não clicar no botão OK ou cancelar a operação. Já o formulário falso pode ser facilmente tirado do seu caminho ao apertar o botão Home ou alternar para outro aplicativo. Além disso, caso seu dispositivo tenha Touch ID e você tenha feito login recentemente… há algo errado, né?

Embora instruções em JavaScript sejam ignoradas pelo Mail, é possível montar um coletor de senhas totalmente funcional apenas usando HTML e CSS. E, como o cliente não está filtrando tags perigosas, o email pode ser montado de forma a causar a mínima suspeita possível — fazendo, por exemplo, com que o formulário seja exibido apenas uma vez, em vez de aparecer sempre que o usuário abre a mensagem.

A falha foi relatada à Apple no dia 15 de janeiro e ainda não foi corrigida. Por causa da lentidão, o pesquisador publicou o código-fonte da prova de conceito no GitHub.

Com informações: Ars Technica.

Receba mais sobre iOS na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Relacionados

Como salvar fotos no iCloud [Enviar para nuvem]
Como salvar fotos no iCloud [Enviar para nuvem]
Como salvar suas senhas no Google Chrome pelo celular ou PC
Como salvar suas senhas no Google Chrome pelo celular ou PC
O que é e como usar o iCloud Keychain [Chaves]
O que é e como usar o iCloud Keychain [Chaves]
Como acessar o e-mail do iCloud via Android
Como acessar o e-mail do iCloud via Android
É seguro salvar senhas no Google Chrome?
É seguro salvar senhas no Google Chrome?
Como compartilhar pastas e arquivos do iCloud Drive
Como compartilhar pastas e arquivos do iCloud Drive
Como recuperar mensagens apagadas do Messages do iPhone
Como recuperar mensagens apagadas do Messages do iPhone
Como encontrar senhas salvas no Firefox
Como encontrar senhas salvas no Firefox
Como transferir dados de um iPhone para outro [Configurar novo]
Como transferir dados de um iPhone para outro [Configurar novo]
Times de futebol estão entre as senhas mais usadas por brasileiros
Times de futebol estão entre as senhas mais usadas por brasileiros