Si sois usuarios de iOS y estáis en iOS 8, debéis leer atentamente este artículo, sobretodo si hacéis uso de la app de correo nativa en nuestros dispositivos Apple. Hace un tiempo un investigador de seguridad apodado «Jansoucek» informó a Apple de una «vulnerabilidad» hallada en esta aplicación, gracias a la cual se podía ejecutar código HTML oculto en un correo.
Aprovechando la vulnerabilidad ya mencionada, esta persona escribió un código de forma que cuando recibimos el mail «infectado» nos aparezca una animación exactamente igual a la de inicio de sesión de iCloud que suele aparecer al hacer uso de alguna de sus funciones o incluso de la AppStore.
El código en cuestión permite al emisor del correo engañar a su víctima y que esta introduzca su contraseña en la cajetilla de inicio de sesión, mal asunto, si alguien lo hace se verá redireccionado a Safari y de vuelta a Mail con un mensaje alardeando de su logro y demostrándote que tiene tu contraseña, y efectivamente, el emisor recibirá la contraseña que tu has introducido inocentemente pensando que la cajetilla era real.
Para que veáis como funciona os dejo una demostración:
Para acabar de rematar la situación, resulta que pese a que Jansoucek alertó a Apple del problema, esta ultima no ha modificado nada y este «truco» aún persiste, así que el creador ha optado por publicarlo en GitHub, de forma que cualquiera pueda usarlo y modificarlo a su antojo, para que de esta forma Apple lo vea como una amenaza y se sienta presionada a solucionarlo cuanto antes.
Si tenéis conocimientos básicos de HTML y queréis echar un vistazo al código, solo tenéis que entrar en su repositorio original. Para los que temáis que os la cuelen y os consigan substraer vuestros datos de iCloud, la solución es bien sencilla, nunca toméis en serio una cajetilla de inicio de sesión teniendo la app nativa de correo en primer plano, es más, podéis comprobar si es verídica o no ya que cuando salta la cajetilla de verdad, esta bloquea acciones táctiles y gestos, sin embargo si podéis volver atrás en el correo y la cajetilla desaparece, esta era una trampa. Si os topáis con una situación así deberíais bloquear el remitente y borrar el mensaje de inmediato, así os evitaréis futuros sustos.