--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2015.06.10 19:00|カテゴリ:Security

【動画見とけ!】iPhone/iPadのメールアプリに危険な脆弱性 パスワードを盗まれる可能性あり


 iPhone/iPadのメールアプリに脆弱性があることを発見したJan Soucek氏が、その脆弱性を利用して、ユーザーのパスワードを収集することができる「iOS 8.3 Mail.app inject kit」を公開しました。

 公開先はGitHubで、誰でも入手が可能です。
 
 GitHub上にはJan Soucek氏がこのツールを公開するにいたった経緯が示されています。


Back in January 2015 I stumbled upon a bug in iOS's mail client, resulting in HTML tag in e-mail messages not being ignored. This bug allows remote HTML content to be loaded, replacing the content of the original e-mail message. JavaScript is disabled in this UIWebView, but it is still possible to build a functional password "collector" using simple HTML and CSS.

It was filed under Radar #19479280 back in January, but the fix was not delivered in any of the iOS updates following 8.1.2. Therefore I decided to publish the proof of concept code here.
jansoucek/iOS-Mail.app-inject-kit ? GitHub


 
 これによると、Jan Soucek氏は、2015年1月にiOSのメールアプリに脆弱性があることを発見、また、単純なHTMLとCSSでパスワードを収集することができることを確認し、Appleに報告しました。しかし、その後公開された「iOS 8.1.2およびその次のアップデート」でもこの脆弱性が修正されなかったため、PoC(検証用のコード)を公開することにしたそうです。
 
 GitHubにはサーバにアップロードするためのファイルとメールのテンプレートが置かれており、少し修正するだけでパスワード収集用のメールを送信することが可能になっています。

 検証用としつつも十分攻撃が可能であるため、iPhoneやiPadで標準のメールアプリを利用していると攻撃にあう可能性があります。

 この検証用のコードでは、細工が施されたメールを受信すると、以下のようにポップアップでパスワード入力画面が表示されます。




 これを見たユーザは、なんらかの理由でメールやiCloudのパスワード入力が必要になったのだろうと誤解する可能性があります。
 
 しかし、決してパスワードを入力してはいけません。


 
 実際のイメージは、Jan Soucek氏による以下のデモ動画で確認できます。


 
 iPhone/iPadをお使いの方は一度見ておくとよいでしょう。
 
 このデモや検証用のコードはあくまでも脆弱性を利用した一つの例です。今後、脆弱性を悪用した別の攻撃が出現する可能性もあるので、注意が必要です。
 
 アップルには速やかに脆弱性の修正を行ってもらいたいものです。
 
 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。