App de correo en iOS vulnera iCloud

Un fallo permite robar la contraseña del servicio al aparecer una ventana que pide escribirla

Apple-iCloud

La contraseña usada para los servicios de iCloud se puede robar desde la app del correo en dispositivos que usan iOS 8.3

En enero Apple recibió la advertencia de que su app de correo tenía una vulnerabilidad que le permitía acceder desde ahí a la contraseña de iCloud y hasta ahora no se ha corregido, pero hasta ahora se hace pública porque se ha creado una herramienta que  es capaz de obtener las contraseñas usadas en dicho servicio con tan solo mandar un correo phishing, en donde se aprovecha de su hueco de seguridad.

Este vulnerabilidad  ha afectado a millones de usuarios de Apple que usan la versión iOS 8.3, aprovechando el bug que posee el cliente nativo del correo de este sistema operativo, en donde aparece una ventana aparentemente inofensiva que pide poner la contraseña de iCloud, pero que en realidad permite robarla.

El problema es que aunque Apple sabe de este error, todavía no lo han corregido y como medida de presión se da a conocer de manera pública la herramienta que permite el envío de correo phishing “creado sin fines maléficos”.

El bug permite que de forma remota se pueda descargar contenido HTML el cual se puede reemplazar por otro, en este caso el contenido de un correo, en donde se deshabilita la vista de JavaScript y por medio de HTML y CSS se obtenga un recolector  funcional de contraseñas.

Por ahora, la única medida precautoria es no escribir la contraseña de iCloud o ninguna otra que se pida cuando se entre a la app, mientras se espera que Apple por fin lance una actualización que corrija dicho bug. Considerando los anuncios que hicieron relacionados con el cuidado de la privacidad, deberían mejorar también la seguridad dentro de sus apps y no sólo para el acceso desde la pantalla de inicio.

Con información de the Register.