מיילים שמנסים לגרום לפתות אתכם למסור פרטים שונים לנוכלים אינטרנטיים אינם דבר חדש, אבל חוקר אבטחה צ'כי חשף השבוע דרך משכנעת במיוחד להפיל בפח בעלי מכשירי iOS של אפל.

התקפת Mail.app (אילוסטרציה: Jan Soucek)
ככה נראית התקפת Mail.app באייפד | אילוסטרציה: Jan Soucek

יאן סוצ'יק, יועץ לטכנולוגיה משפטית בסניף של ארנסט אנד יאנג בפראג, מסביר כי באג באפליקציית המייל במכשירי אייפון, אייפד ואייפוד טאצ' מאפשר לשלוח למשתמשים מייל שפתיחתו מקפיצה חלון המציג את כתובת חשבון האייקלאוד ומבקש מהמשתמש להקליד את הסיסמה. החלון נראה כמו חלון אימות זהות אמיתי של אפל, ולכן הוא טוען כי רוב המשתמשים יזינו לתוכו את הסיסמה בלי לחשוב פעמיים. בפועל, שם המשתמש והסיסמה יישלחו לשולח המייל שיוכל לפרוץ באמצעותם לחשבון ולעשות בו ככל העולה על רוחו.

 

סוצ'יק גילה את הבאג כבר בינואר ודיווח עליו לאפל מייד. אך היא התעלמה לדבריו מהדיווח, לא טרחה לענות לו ולא תיקנה את הבאג באף אחד מעדכוני התוכנה של iOS שיצאו בחמשת החודשים האחרונים. לכן, החליט סוצ'ק לפרסם ברשת את פרטי הבאג, בניסיון ללחוץ על החברה לתקן אותו. זהו צעד נפוץ שגם חברות ענק כמו גוגל נוקטות לעתים קרובות כאשר חברות אחרות לא מטפלות בבעיות אבטחה בזמן שנראה להם סביר - בדרך כלל שלושה חודשים.