Οι ερευνητές ασφαλείας Ernst & Young μαζί με τον Jan Soucek που ανακάλυψε την ευπάθεια, ανέπτυξαν ένα εργαλείο που είναι ικανό να παράγει iCloud password phishing emails πραγματοποιώντας exploit σε ένα unpatched bug που επηρεάζει εκατομμύρια χρήστες της Apple.
Οι ερευνητές ανέπτυξαν το iOS 8.3 Mail.app inject kit που κάνει exploit σε ένα σφάλμα της ηλεκτρονικού ταχυδρομείου της Apple. Ουσιαστικά δημιουργεί ένα ρεαλιστικό pop-up που φαίνεται ακριβώς το ίδιο με της Apple.
Ο Soucek (jansoucek) αναφέρει παράλληλα ότι το Cupertino δεν απάντησε όταν προσπάθησε να τους ενημερώσει για το bug τον Ιανουάριο.
"Αυτό το σφάλμα επιτρέπει σε απομακρυσμένο περιεχόμενο HTML να φορτωθεί, αντικαθιστώντας το περιεχόμενο του αρχικού μηνύματος ηλεκτρονικού ταχυδρομείου. Το JavaScript είναι απενεργοποιημένο σε αυτό το UIWebView, αλλά εξακολουθεί να είναι δυνατή η ανάπτυξη μιας σελίδας που συλλέγει passwords με τη χρήση απλών HTML και CSS."
Οι phishers χρησιμοποιώντας το δωρεάν εργαλείο που ανέπτυξαν οι ερευνητές μπορούν να τρέξουν επιτυχώς εκστρατείες phishing συλλέγοντας ότι διαπιστευτήρια επιθυμούν. Τα θύματα τους θα δουν μόνο ένα pop-up στην εφαρμογή Mail του iOS.
Ο Soucek εξασφαλίζει με το εργαλείο του ότι το http-equiv στοχεύει μόνο θύματα που επιτρέπουν την εγκατάσταση cookies στα iDevices τους.
Ο ερευνητής αναφέρει ότι είναι το καλύτερο εργαλείο phishing από τις συνηθισμένες σελίδες που έρχονται μέσα σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, γιατί στοχεύει μόνο τους χρήστες που το app τους επιτρέπει τις αλλαγές που πρέπει να γίνουν.
Δημοσίευση του εργαλείου δεν πρέπει να θεωρηθεί κακόβουλη, οι White hat ερευνητές ασφάλειας δημοσιεύουν συχνά περίπλοκα εργαλεία phishing για επαγγελματίες που τα χρησιμοποιούν μέσα σε εταιρείες, για εκπαίδευση του προσωπικού στο social engineering.
