iPhone、iPod touch、iPad 用の Apple 標準メール アプリケーションに存在する重大なバグにより、攻撃者はユーザーを騙して iCloud の認証情報を提供させられる可能性があります。
iCloud が、写真ライブラリ、メモ、連絡先、その他の個人データを含む、Apple の世界におけるデジタルライフの拠点になりつつあるため、このようなフィッシング攻撃は壊滅的な被害をもたらす可能性があります。
The Register が水曜日に報じたところによると、この詐欺はメールアプリケーションの脆弱性を悪用し、単純な電子メールメッセージを通じて iCloud のパスワードプロンプトに似た本物らしいポップアップを簡単に配信できるようにするという。
このような電子メールは、実在の企業から送信されたように見えますが、実際には偽装されており、何も知らないユーザーが iOS 8.3 搭載の iPhone、iPod touch、または iPad でその電子メールを開くと、オペレーティングシステムが電子メール内に埋め込まれた悪意のある HTML コンテンツを実行します。
この脆弱性は、Apple のメール アプリケーションが、受信メール内の埋め込まれた HTML コードを実行するよう iOS デバイスに指示する重要なコード行を無視するという事実から生じています。
悪意のあるHTMLコードは、iCloudのユーザー名とパスワードを求めるiOSフォームを模倣しています。当然ながら、これは偽物なので、すぐに無視してください。iOS 8.3のメールクライアントに対する概念実証攻撃の短いデモをご覧ください。
セキュリティ研究者のヤン・ソウチェク氏が今年1月にこの欠陥を初めて発見した。
「2015年1月にiOSのメールクライアントのバグに遭遇し、電子メールメッセージ内のHTMLタグが無視されなくなってしまった」と彼は語った。
このバグにより、リモートのHTMLコンテンツが読み込まれ、元のメールメッセージのコンテンツが置き換えられる可能性があります。このUIWebViewではJavaScriptが無効になっていますが、シンプルなHTMLとCSSを使用して機能的なパスワード「コレクター」を構築することは可能です。
Apple がこの明らかな脆弱性をなぜ 6 か月近くも修正せずに放置していたのかは不明だが、Januček 氏は感銘を受けていない。
同社が迅速に脆弱性を修正しなかったことに不満を抱いたソウチェク氏は、ソーシャルエンジニアリングへの意識を高めるため、GitHubでコードを公開することを決意した。問題は、そうすることで、iOSデバイスの所有者を狙ったフィッシング攻撃を仕掛ける手段をパワーユーザーに与えてしまう可能性があることだ。
標準のメール アプリを使用していない人は、この攻撃方法によって iCloud の資格情報が乗っ取られる危険はありません。
私が誰に対しても与えられる最良のアドバイスは、プロンプトがオペレーティング システム自体から出されたものであると確信できる場合を除き、iCloud または Apple ID のユーザー名とパスワードをアプリやダイアログ ボックスに入力することは絶対に避けるべきだということです。
この特定のバグの場合、iPhone、iPod touch、または iPad で Apple Mail を使用しているときに表示される可能性があるこのようなプロンプトはすべて無視してください。
出典:The Register
