Este
bug es bastante crítico y es que tener la posibilidad de inyectar código funcional utilizando
HTML puede hacer que caigamos en un ataque de
phishing. El investigador que descubrió este
bug se llama
jansoucek y ha preparado una prueba de concepto en la que explica el fallo y el cómo explotarlo. Además, en su cuenta de
github ha publicado el código necesario para llevar a cabo la prueba de concepto. El fallo radica en que las etiquetas
meta http-equiv = refresh no son ignoradas por el cliente de correo electrónico. Este error permite que el contenido
HTML remoto pueda ser cargado, reemplazando el contenido del mensaje del correo electrónico original.
Es cierto que
Javascript está desactivado en esta
UIWebView, pero se puede construir un mensaje que pida la contraseña, por ejemplo de
iCloud como sale en el video, a través de
HTML y
CSS.
Figura 1: Prueba de Concepto de HTML Injection en Mail para iOS 8.3.
El funcionamiento es bastante sencillo, y como puede verse en la cuenta de
github de
jansoucek:
- Editar la dirección de correo electrónico que se quiere utilizar para recolectar la contraseña en el archivo framework.php.
- Subir los ficheros index.php, framework.php y mydata.txt a un servidor.
- Enviar un email que contenga el código HTML que se encuentra en email.html a la víctima.
- Cambiar el valor del parámetro que se envía por GET de la dirección de correo electrónico del destinatario.
Desde
putsmail se pueden hacer pruebas para comprobar esta vulnerabilidad importante. Estaremos atentos desde
Seguridad Apple para ver cual es el movimiento de
Apple respecto al parche de esta vulnerabilidad.
Publicado en
Seguridad Apple -
Google+ -
RSS -
Eleven Paths
Continúar leyendo...
