iOS: Schwachstelle in Apple Mail ermöglicht offenbar raffiniertes iCloud-Phishing

Ein Bug in Apples E-Mail-Client für iPhone und iPad ermöglicht das Nachladen von HTML-Inhalten, die den ursprünglichen Inhalt der Nachricht ersetzen, wie der Entwickler Jan Soucek berichte – das Meta-Element http-equiv=refresh werde nicht ignoriert. Diese Schwachstelle lasse sich beispielsweise für raffiniertes Phishing einsetzen, indem man den iCloud-Anmeldedialog beim Öffnen einer E-Mail nachbildet. Zwar ist JavaScript in der E-Mail-Darstellung deaktiviert, aber einen Passwort-Sammler könne man auch einfach in HTML und CSS umsetzen, betont Soucek, der den Code für das "Mail.app Inject Kit" auf Github veröffentlicht hat.

In einem Video demonstriert der Entwickler, wie ein derartiger Phishing-Angriff aussieht: Die Mail-App zeigt kurz eine neue Nachricht an und blendet dann einen vorgetäuschten iOS-System-Dialog ein, der nach den iCloud-Anmeldedaten fragt. Gibt der Nutzer diese bereitwillig ein, werden sie an den Angreifer übermittelt.

Problematisch ist dies insbesondere, weil dieser iCloud-Anmeldedialog auch im Normalbetrieb auftauchen kann, beispielsweise wenn iOS keine Verbindung zu Apples Servern erhält. Nutzer, die diesen plötzlich erscheinenden Dialog bereits gewohnt sind, denken möglicherweise nicht länger über die Eingabe ihrer Daten nach.

Apple ist offenbar seit Monaten informiert

Soucek hat die Schwachstelle nach eigener Angabe schon im Januar über Apples Bug-Reporter an den Konzern gemeldet – damals noch unter iOS 8.1.2. Bislang sei die Lücke nicht beseitigt worden, sie existiert angeblich auch in der aktuellen Version iOS 8.3 unverändert. Nutzer können sich möglicherweise davor schützen, indem sie der Mail-App das Laden von HTML-Inhalten untersagen – dies lässt sich in den iOS-Einstellungen unter "Mail, Kontakte, Kalender" beim Punkt "Bilder von Webservern laden" vornehmen. (lbe)