ios-8

Uma falha de segurança encontrada no aplicativo Mail, do iOS, permite que pessoas mal intencionadas roubem facilmente as senhas do iCloud das vítimas. O bug, que existe pelo menos desde janeiro, consiste em enviar uma mensagem com código HTML contendo uma falsa janela solicitando a senha do usuário — e que não é filtrada pelo cliente de email da Apple.

A vulnerabilidade, descoberta pelo pesquisador Jan Soucek, explora a incapacidade do Mail de filtrar tags HTML potencialmente perigosas. Quando a vítima recebe o email malicioso, uma janela idêntica à original, solicitando nome de usuário e senha, é exibida assim que a mensagem é aberta. E isso é um grande problema, se considerarmos que o iOS realmente costuma exibir a janela em momentos inesperados.

O vídeo mostra como a brecha pode ser explorada:

Como descobrir, então, se a janela é falsa? A diferença básica é que a original é modal, ou seja, você não conseguirá fazer basicamente nada enquanto não clicar no botão OK ou cancelar a operação. Já o formulário falso pode ser facilmente tirado do seu caminho ao apertar o botão Home ou alternar para outro aplicativo. Além disso, caso seu dispositivo tenha Touch ID e você tenha feito login recentemente… há algo errado, né?

Embora instruções em JavaScript sejam ignoradas pelo Mail, é possível montar um coletor de senhas totalmente funcional apenas usando HTML e CSS. E, como o cliente não está filtrando tags perigosas, o email pode ser montado de forma a causar a mínima suspeita possível — fazendo, por exemplo, com que o formulário seja exibido apenas uma vez, em vez de aparecer sempre que o usuário abre a mensagem.

A falha foi relatada à Apple no dia 15 de janeiro e ainda não foi corrigida. Por causa da lentidão, o pesquisador publicou o código-fonte da prova de conceito no GitHub.

Com informações: Ars Technica.

Responde

O que é e como usar o iCloud Keychain (ou Chaves do iCloud); recurso que armazena senhas e dados de cartões de crédito
O que é e como usar o iCloud Keychain [Chaves]
Saiba como acessar o e-mail do iCloud via Android (smartphone ou tablet) e conheça quais limitações você terá ao usá-lo fora do iOS
Como acessar o e-mail do iCloud via Android
Função permite que usuário salve automaticamente senhas de sites no Google Chrome; recurso é útil para economizar tempo ao fazer login
Como salvar suas senhas no Google Chrome pelo celular ou PC
Descubra como compartilhar pastas e arquivos do iCloud Drive pelo seu iPhone, iPad ou Mac
Como compartilhar pastas e arquivos do iCloud Drive

Relacionados

Veja como encontrar as senhas salvas no navegador Firefox pelo computador ou Android e iOS
Como encontrar senhas salvas no Firefox
Há como recuperar mensagens apagadas no Messages do iPhone pelo iCloud ou aplicativos de terceiros, mas só em alguns casos
Como recuperar mensagens apagadas do Messages do iPhone
Saiba como transferir os dados de um iPhone para o outro ao configurar o novo aparelho, usando o Início Rápido ou o iCloud
Como transferir dados de um iPhone para outro [Configurar novo]
A exclusão do ID da Apple é definitiva. A Apple não poderá abrir nem reativar sua conta se você desistir depois
Como excluir a sua Apple ID [definitivamente]

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.