باگ جدید اپلیکیشن ایمیل iOS موجب به سرقت رفتن پسوردها می‌شود

یک متخصص امنیت به نام Jan Soucek به تازگی باگ جدیدی در اپلیکیشن میل آی‌اواس یافته است. این باگ خطرناک به حمله‌کنندگان این امکان را می‌دهد که با کدهای HTML پیغام‌هایی شبیه به پیغام لاگین به سرویس آی‌کلاود را نشان کاربر دهند. متن این پیغام شبیه به همان عباراتی است که در پیغام‌های اصلی سرویس آی‌کلاود به نمایش در می‌آید و درخواست واردکردن دوباره‌ی اپل آی‌دی و رمز عبور در آن مطرح می‌شود. کاربر قربانی با وارد کردن اطلاعات خود در این پیغام و تأیید آن اطلاعات خود را به دست سارقین می‌سپارد. Soucek می‌گوید که از ماه ژانویه وجود این باگ را به اطلاع اپل رسانده اما هیچ پاسخی از سوی این شرکت دریافت نکرده است.

اگر ساز و کار حمله را به درستی متوجه شده باشید می‌توانید حدس بزنید که این شیوه تنها منحصر به سرقت اطلاعات اپل آی‌دی نیست و می‌توان با تغییر شکل و شمایل پنجره هر اطلاعات دیگری از کاربر درخواست کرد. Soucek موضوع وجود این باگ را مدت‌ها بین خود و اپل نگه داشته بود تا این شرکت فرصت کافی برای رفع‌کردن آن در اختیار داشته باشد. اما سکوت اپل در برابر این موضوع او را بر آن داشت که موضوع را عمومی کرده و با قراردادن پروژه‌ی iOS 8.3 Mail.app inject kit در صفحه‌ی گیت‌هاب خود خطر جدی این حمله را به گوش همگان برساند.

با این که این اقدام Soucek افراد بسیاری را از موضوع مطلع کرده و حواس آن‌ها را بابت چنین موضوعی جمع می‌کند، اما به همین میزان احتمال حمله به کاربران با این روش نیز افزایش پیدا می‌کند. امیدواریم رسانه‌ای کردن این موضوع توجه اپل را بیش از پیش جلب موضوع کند تا در نهایت طی آپدیت‌های آینده‌ی آی‌اواس راه‌حلی برای آن ارائه شود.