問題を悪用された場合、リモートのHTMLコンテンツを読み込んで、本来のメールメッセージのコンテンツに置き替えることができてしまう。
米AppleのiOS向けメールクライアントに、フィッシング詐欺に利用される恐れのある未解決の問題が見つかったとして、研究者がこのほどGitHubでコンセプト実証コードを公開した。
チェコの研究者Jan Soucek氏がGitHubに掲載した情報によると、この問題は特定のHTMLタグの扱いに起因する。悪用された場合、リモートのHTMLコンテンツを読み込んで、本来のメールメッセージのコンテンツに置き替えることができてしまうという。簡単なHTMLとCSSを使ってパスワード収集ツールを作成することも可能だとしている。
同氏は、iOS 8.1.2のメールでこの問題を悪用し、iCloudの正規のログインページに見せかけた偽画面を表示して、ユーザー名とパスワードを入力させる様子を示したデモ映像をYouTubeに公開した。
1月に同氏はAppleのバグ報告ツール「Radar」を通じてこの問題を報告したが、8.1.2以降のiOSでも修正されなかったことから、「コンセプト実証コードを公開することにした」と説明している。
Copyright © ITmedia, Inc. All Rights Reserved.