Aparentemente, desde que a Apple lançou o iOS 8.3 no início de abril, o aplicativo Mail parou de remover códigos HTML potencialmente perigosos dos e-mails que os usuários recebem. Uma tag instrui o aplicativo Mail a baixar e executar o código remotamente. O comando então abre uma caixa de formulário, que imita a aparência de uma caixa de solicitação de login do iCloud. Se o usuário fizer login, o hacker poderá roubar o nome de usuário e a senha da conta iCloud. Com essas duas informações, o hacker pode roubar outras informações pessoais armazenadas no iCloud.
Prova de conceito: ataque Mail.app do iOS 8.3
“Este bug permite que conteúdo HTML remoto seja carregado, substituindo o conteúdo da mensagem de e-mail original”, Jansoucek escreveu. “O JavaScript está desabilitado neste UIWebView, mas ainda é possível construir um ‘coletor’ de senha funcional usando HTML e CSS simples [folhas de estilo em cascata].”
Vídeos recomendados
Para piorar a situação, a vulnerabilidade coloca um cookie de rastreamento no aplicativo Mail, para que o código não execute o mesmo comando sempre que o e-mail infectado for aberto no aplicativo. Dessa forma, o usuário não suspeita da mensagem nem percebe o link entre aquele e-mail específico e o prompt de login do iCloud. Além disso, o hacker pode alterar o código a qualquer momento para acessar diversas informações.
Felizmente, existe um truque que os usuários do iOS podem usar para se protegerem do hack. Embora o código malicioso faça uma boa imitação da caixa de login do iCloud, ele não é perfeito. Em primeiro lugar, a caixa pede seu ID Apple e sua senha, enquanto o iCloud normalmente pede apenas sua senha e já exibe seu nome de usuário. Em segundo lugar, a caixa não é modal, então o fundo não desaparece e a tela não fica estática quando o prompt aparece. Além disso, as sugestões do teclado permanecem ativadas, algo que nunca acontece quando você recebe um prompt do iCloud no iOS.
É claro que essas diferenças são sutis e muitos não as notarão. A Apple ainda não respondeu, mas esperamos que o patch chegue em breve. Até então, na próxima vez que você vir uma solicitação de login do iCloud, verifique esses sinais reveladores para garantir que você não está sendo hackeado.
Recomendações dos Editores
- O novo recurso mais legal do iOS 17 é uma notícia horrível para usuários do Android
- A Apple está adicionando um novo aplicativo ao seu iPhone com iOS 17
- iOS 16.5 está trazendo dois novos recursos interessantes para o seu iPhone
- Modo de bloqueio do iPhone: como usar o recurso de segurança (e por que você deveria)
- Seu iPhone tem um recurso secreto que ajuda o meio ambiente – veja como funciona
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
