安全专家 Jan Soucek 发现了 iOS 邮件应用中的新 Bug,攻击者可以利用新 Bug 发送包含虚假 iCloud 登陆窗口的邮件。邮件中可以载入远程 HTML 内容,受害者打开邮件时可以弹出与 iCloud 验证很相似的窗口。这时,如果用户输入了 Apple ID 和密码,账户信息就会被偷走。Jan Soucek 表示苹果并没有回应自己发现的 Bug。
Jan Soucek 今年1月发现了 Bug,并一直保密等待苹果修复,不过由于苹果没有回应,Jan Soucek 选择公开 Bug,并发布了可以利用该 Bug 进行攻击的 mail.app 注入工具包。在苹果修复该 Bug 前,我们输入iCloud 密码时还需要小心一些。下面是演示这个安全漏洞的视频。