Αποδεικτικά στοιχεία ότι μια ευπάθεια στην εφαρμογή ηλεκτρονικού ταχυδρομείου της Apple για φορητές συσκευές θα μπορούσε να χρησιμοποιηθεί προκειμένου να αποσπάσει τους κωδικούς πρόσβασης χρηστών στο iCloud, παρουσιάζει σε έκθεση που δημοσιοποίησε σήμερα ένας ερευνητής από την Πράγα, ο Γιαν Σούσεκ.
Στην έκθεσή του αναφέρει λεπτομερώς πώς θα μπορούσε να στείλει σε κάποιον ένα email με κώδικα HTML, ο οποίος μοιάζει με το αναδυόμενο παράθυρο του iCloud που ζητά τους κωδικούς του χρήστη. Στη συνέχεια ο Σούσεκ λαμβάνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει τον κωδικό πρόσβασης.
Η ευπάθεια αυτή επιτρέπει σε απομακρυσμένο HTML περιεχόμενο να ενσωματώνεται σε ένα email και να αντικαθιστά το κανονικό περιεχόμενο του μηνύματος. Όπως αναφέρει στην έκθεσή του ο Σούσεκ, στη συνέχεια ανέπτυξε έναν λειτουργικό συλλέκτη κωδικών πρόσβασης χρησιμοποιώντας HTML και CSS.
Ο ερευνητής ανακάλυψε την ευπάθεια αυτή τον Ιανουάριο και ειδοποίησε την Apple. Όπως ισχυρίζεται ο ίδιος, δεν υπήρχε διορθωτικό για το συγκεκριμένο σφάλμα στην αναβάθμιση iOS 8.1.2 του λειτουργικού της Apple, «οπότε αποφάσισε να δημοσιεύσει τα στοιχεία της έρευνάς του».
Όπως αναφέρει σε δημοσίευμά του το αμερικανικό περιοδικό PC World, στελέχη της Apple δεν προέβησαν οποιοδήποτε σχετικό σχόλιο.
Η Apple έχει λάβει ορισμένα μέτρα για την ενίσχυση της ασφάλειας του iCloud, μετά από καταγγελίες πολλών διασημοτήτων ότι οι λογαριασμοί τους είχαν παραβιαστεί το περασμένο έτος. Οι χάκερ είχαν μαντέψει τους κωδικούς πρόσβασης των διασημοτήτων, πιθανόν απαντώντας στην ερώτηση ασφαλείας που ζητά η Apple όταν κάποιος χρήστης ξεχάσει το password του.
Ο Σούσεκ πάντως προειδοποιεί ότι η εταιρεία θα πρέπει να αναπτύξει διορθωτικό για την ευπάθεια αυτή, προκειμένου να αποφευχθεί η κλοπή ακόμα περισσότερων κωδικών πρόσβασης.
