Si sou usuaris d'iOS i esteu a iOS 8, heu de llegir atentament aquest article, sobretot si feu ús de l'app de correu nativa als nostres dispositius Apple. Fa un temps un investigador de seguretat anomenat «Jansoucek» va informar a Apple d'una «vulnerabilitat» trobada en aquesta aplicació, gràcies a la qual es podia executar codi HTML ocult en un correu.
Aprofitant la vulnerabilitat ja esmentada, aquesta persona va escriure un codi de manera que quan rebem el correu "infectat" ens aparegui una animació exactament igual a la d'inici de sessió d'iCloud que sol aparèixer en fer ús d'alguna de les seves funcions o fins i tot de la AppStore.
El codi en qüestió permet a l'emissor del correu enganyar la seva víctima i que aquesta introdueixi la contrasenya al paquet d'inici de sessió, mal assumpte, si algú ho fa es veurà redireccionat a Safari i de tornada a Mail amb un missatge presumint de la seva aconsegueixo i demostrant-te que té la teva contrasenya, i efectivament, l'emissor rebrà la contrasenya que tu has introduït innocentment pensant que el paquet era real.
Perquè veieu com funciona us deixo una demostració:
Per acabar de rematar la situació, resulta que malgrat que Jansoucek va alertar Apple del problema, aquesta última no ha modificat res i aquest «truc» encara persisteix, així que el creador ha optat per publicar-lo a GitHub, de manera que qualsevol pugui fer-lo servir i modificar-ho al seu gust, perquè d'aquesta manera Apple ho vegi com una amenaça i se senti pressionada a solucionar-ho com més aviat millor.
Si teniu coneixements bàsics d'HTML i voleu fer una ullada al codi, només heu de entrar al vostre repositori original. Pels que temeu que us la colin i us aconsegueixin substraure les vostres dades d'iCloud, la solució és ben senzilla, mai preneu seriosament un paquet d'inici de sessió tenint l'app nativa de correu en primer pla, és més, podeu comprovar si és verídica o no ja que quan salta el paquet de veritat, aquesta bloqueja accions tàctils i gestos, però si podeu tornar enrere al correu i el paquet desapareix, aquest era un parany. Si us topeu amb una situació així hauríeu de bloquejar el remitent i esborrar el missatge immediatament, així us evitareu futurs ensurts.