Sinds de iOS-versie 8.3 wordt HTML-code in e-mails niet grondig genoeg geïnspecteerd door Apples Mail-app, waarschuwen beveiligingsonderzoekers.

Dat maakt het mogelijk voor hackers om de iCloud-inloggegevens van gebruikers te ontfutselen. Ze kunnen in een e-mailbericht namelijk een fake inlogscherm voor iCloud opnemen, dat er evenwel identiek hetzelfde uitziet als het echte login-scherm van de clouddienst. Wie in dat schermpje zijn gegevens invult, geeft ze door aan de kwaadwillige afzender van de e-mail.

Deze poging om inloggegevens te verzamelen, is des te riskanter omdat het in iOS niet zo ongewoon is om op onverwachte momenten met inlogschermen geconfronteerd te worden.

Er is wel een manier om vast te stellen of een iCloud-pop-up al dan niet legitiem is: door simpelweg op de home-knop te drukken als de pop-up verschijnt. Wanneer dan inderdaad het beginscherm verschijnt, is er sprake van een malafide pop-up. Legitieme inlogschermen staan namelijk geen andere acties toe voordat ze ingevuld (of geannuleerd) zijn.

De bug is al in januari aan Apple gemeld, maar het bedrijf heeft er tot op heden geen actie tegen ondernomen. Vandaar dat de ontdekkers het probleem nu openbaar maken. Vorig jaar vond al een grootschalige iCloud-hack plaats, waarbij naaktfoto's van beroemdheden uit Apples clouddienst gehaald werden en online gepubliceerd werden.

(Automatiseringgids / MI)

Sinds de iOS-versie 8.3 wordt HTML-code in e-mails niet grondig genoeg geïnspecteerd door Apples Mail-app, waarschuwen beveiligingsonderzoekers. Dat maakt het mogelijk voor hackers om de iCloud-inloggegevens van gebruikers te ontfutselen. Ze kunnen in een e-mailbericht namelijk een fake inlogscherm voor iCloud opnemen, dat er evenwel identiek hetzelfde uitziet als het echte login-scherm van de clouddienst. Wie in dat schermpje zijn gegevens invult, geeft ze door aan de kwaadwillige afzender van de e-mail. Deze poging om inloggegevens te verzamelen, is des te riskanter omdat het in iOS niet zo ongewoon is om op onverwachte momenten met inlogschermen geconfronteerd te worden. Er is wel een manier om vast te stellen of een iCloud-pop-up al dan niet legitiem is: door simpelweg op de home-knop te drukken als de pop-up verschijnt. Wanneer dan inderdaad het beginscherm verschijnt, is er sprake van een malafide pop-up. Legitieme inlogschermen staan namelijk geen andere acties toe voordat ze ingevuld (of geannuleerd) zijn.De bug is al in januari aan Apple gemeld, maar het bedrijf heeft er tot op heden geen actie tegen ondernomen. Vandaar dat de ontdekkers het probleem nu openbaar maken. Vorig jaar vond al een grootschalige iCloud-hack plaats, waarbij naaktfoto's van beroemdheden uit Apples clouddienst gehaald werden en online gepubliceerd werden.(Automatiseringgids / MI)