iPhoneiPadに搭載されているiOS 8には、標準アプリの「メール」がプリインストールされています。このメールアプリに重大なバグが発見され、悪用された場合にはiCloudパスワードが漏れてしまう可能性が浮上しました。

jansoucek/iOS-Mail.app-inject-kit · GitHub

https://github.com/jansoucek/iOS-Mail.app-inject-kit

バグを発見したのはセキュリティ調査員のJan Soucek氏で、2015年1月にバグの詳細をAppleに報告したものの、その後公開されたiOS 8.1.2、および次のアップデートでもバグが修正されなかったため、検証用のコード(Proof-of-Concept)を公開。さらには、コードを使って実際にiOSからiCloudパスワードを抜き取る様子を収めたムービーも公開しています。

Proof-of-concept: iOS 8.3 Mail.app attack - YouTube

iPadで新規メールを受信。



受信したメールを開くと、本文を確認する前にiCloudのログイン画面が出現します。



パスワードを入力して「OK」をタップすると……



iCloudにログインすることなく、「パスワードありがとう!」というメールを受信。iCloudパスワードがメールの送信者に漏れたというわけです。



今度はiPhoneで検証。iPadと同じく受信したメールを展開。



iCloudのログイン画面が表示され、パスワードを入力してログインしようとすると……



一瞬ブラウザが立ち上がりますが……



またしても「パスワードをありがとう!」というメールを受信しました。



ムービーの通り、Soucek氏が発見した脆弱性を利用すると「iCloudのログイン画面」を偽造して表示させることができるというわけ。偽造されたログイン画面にパスワードを入力して送信してしまうと、パスワードが送信者に漏れてしまいます。

Soucek氏は1月に脆弱性をAppleに報告し、脆弱性についてTwitterでも公開しました。

Proof-of-concept of iOS's Mail.app 0day exploit: https://t.co/jI6NpR0HdC pic.twitter.com/gfup9o97nY— Jan Souček (@jansoucek) 2015, 1月 18

しかしながら、先述の通りその後のアップデートで脆弱性が修正されなかったため、Soucek氏はGithubで検証用コードの公開に踏み切っています。Soucek氏が公開している検証用コードを使うと、パスワードを収集可能なメールを送信可能になります。iOSユーザーは、iCloudパスワード入力を要求するメールが届いてもパスワードを絶対に入力しないように注意が必要です。

セキュリティ企業のErrata Securityのロブ・グラハムCEOは「今回発見された脆弱性はかなり重大と言えます」とArs Technicaに語っており、実際に今回の脆弱性を利用してパスワードを抜きとろうとするメールを6月10日に受信したとのこと。

今回の件に関してAppleは「実際に攻撃されたユーザーは今のところ見つかっていませんが、次のアップデートで修正できるように現在バグの修正に全力を注いでいます」とコメントしています。