Apple-Mail-Lücke soll iCloud-Phishing ermöglichen (mit Video)

Eine Lücke in Apples E-Mail-Client für iPhone und iPad soll das Nachladen von HTML-Inhalten ermöglichen, die den ursprünglichen Inhalt der Nachricht ersetzen, behauptet Entwickler Jan Soucek auf Github.  Die Schwachstelle könne für Phishing eingesetzt werden, indem der iCloud-Anmeldedialog beim Öffnen einer E-Mail nachbildet werde. In einem Video demonstriert Soucek, wie ein solcher Angriff aussehen würde:  Problematisch sei dies vor allem, weil dieser iCloud-Anmeldedialog auch im Normalbetrieb auftauchen könne, beispielsweise wenn iOS keine Verbindung zu Apples Servern erhalte, fügt heise.de an.  Soucek hat die Schwachstelle nach eigener Angabe schon im Januar an Apple gemeldet. Bislang sei die Lücke nicht beseitigt worden, Nutzer können sich möglicherweise davor schützen, indem sie der Mail-App das Laden von HTML-Inhalten untersagen, schreibt heise.de. Dies lässt sich in den iOS-Einstellungen unter "Mail, Kontakte, Kalender" beim Punkt "Bilder von Webservern laden" vornehmen.