Ene Soucek ha descubierto un nuevo error en la aplicación de correo iOS que podría cargar código HTML remoto reemplazando el contenido original del mensaje.
De vuelta en enero 2015 me topé con un error en el cliente de correo de iOS, lo que resulta en la etiqueta HTML en mensajes de correo electrónico no ser ignorados. Este error permite que el contenido HTML a distancia para ser cargado, reemplazando el contenido del mensaje de correo electrónico original. JavaScript está desactivado en este UIWebView, pero todavía es posible construir una contraseña "colector" funcional utilizando HTML simple y CSS.
El fallo podría ser utilizado para crear formularios de ingreso iCloud-como falsos que capturar contraseñas y más --right dentro de la aplicación iOS Correo. Soucek dice que notificó a Apple de este error de nuevo en enero de 2015, pero la empresa nunca emitió una solución - por lo que publicó una prueba de concepto para presionar a Apple para corregir el error.
Mientras Soucek utiliza un formulario de iCloud-login para demostrar el error, casi cualquier sitio web podría ser imitado, por lo que es posible robar tarjetas de crédito, contraseñas, números de seguridad social, y más.
No hay información sobre qué versiones de iOS están afectados por el error, pero por favor, por desconfiar de cualquier forma de inicio de sesión del pop que aparecen con el correo App iOS.
No hay comentarios:
Publicar un comentario