近日安全研究人員發布了一份漏洞利用代碼。這份代碼表明，攻擊者可以通過足以以假亂真的釣魚，輕易竊取使用最新iOS版本的iCloud密碼。

　　漏洞原理

這個概念驗證性攻擊利用了iOS系統中默認的電子郵件程序Mail.app的一個漏洞。自從4月初iOS8.3版本發布以來，該應用就未能從接收郵件消息中適當剔除含有潛在危險的HTML代碼。這個POC正是利用了這一漏洞，它從遠程服務器下載一個表單，該表單看起來與合法的iCloud登錄提示窗口完全相同。每當用戶查看包含“陷阱”的消息時，這個偽造的登錄提示窗都可以自動顯示。

GitHub上一個用戶名為jansoucek的人在readme文件中寫入了如下說明：

“這個漏洞允許遠程加載HTML內容，并可以替換原始電子郵件消息的內容。雖然這個UIWebView 中禁用了JavaScript，但仍有可能通過簡單的HTML和CSS創建一個功能密碼收集器。”

為了降低它的可疑性，攻擊者可以編程實現僅僅彈出一次的密碼窗口。為了使其看起來更加真實，攻擊代碼使用了一個自動對焦特性，以確保一旦用戶點擊了“OK”按鈕，那么該對話框域將自動隱藏。然而，為了觸發該漏洞，所需要做的僅僅是使發送給用戶的郵件中包含HTML標簽。

該漏洞除了可以用來釣魚蘋果用戶的密碼，還可以用來發送“提示信息”，以此使得郵件發送者知道誰查看了該郵件、何時以什么IP地址查看了該郵件。

視頻演示

演示視頻。

安全建議

作為一個iPhone的長期用戶，這可能是一個嚴重的漏洞：因為iOS系統在意想不到的時候顯示登錄提示并不少見。

安全研究人員曾在周三收到過這樣一個“釣魚提示”，而該攻擊發生的時間僅僅是了解到該漏洞之前的幾個小時。

安全研究人員建議用戶遇到這樣的密碼提示時，用戶最好不要輸入任何帳號密碼，而是直接按下取消按鈕。通過這樣做，大多數情況下用戶將不會面臨什么不良后果，最糟糕的情況也僅僅是再次彈出提示而已。值得一提的是，當用戶向密碼提示框中輸入密碼前，首先應該確保此時沒有查看電子郵件。

此外，更有經驗的用戶能夠通過按下home鍵來檢測這個假提示。合法的提示是“模態對話框”，這意味著在按下OK或取消按鈕之前，它不允許用戶進行任何其他操作。相比之下，偽造的密碼提示并不是模態的，所以如果在顯示密碼提示框時按下home鍵設備回到了主屏幕，那么這就表明這個密碼提示是不可信的。

蘋果官方目前無回應

根據該研究人員的消息，他在1月份向蘋果公司報告了該漏洞，但迄今為止蘋果拒絕提供漏洞修復，并且蘋果尚未針對該漏洞給予任何評論，但在iOS8.4中將有望看到對該漏洞的修復。