Apple quiere convertirse en el abanderado de la privacidad, dejando en el usuario el control de toda su información, en claro ataque a cómo hace dinero Google con la información que le proporcionamos. Pero eso no quita para que en seguridad informática sea un hecho que no hay sistema 100% seguro, y por tanto la privacidad no está 100% asegurada.
Un fallo descubierto en la aplicación de Correo de iOS facilita a un usuario malicioso hacerse con nuestro usuario y contraseña de iCloud. El ataque es una prueba de concepto y no se sabe que esté siendo explotado por ningún rootkit ni similar, pero no deja de ser preocupante para los despistados.
El fallo se ha introducido junto a iOS 8.3 en abril, y que la aplicación no realiza correctamente la eliminación de código HTML potencialmente peligroso, algo a lo que se denomina inyección de código.
Al no eliminar correctamente el código HTML, al recibir un correo especialmente formateado se puede ejecutar código remoto y esto posibilita que aparezca una ventana en la aplicación solicitando nuestro usuario y contraseña por ejemplo de iCloud al abrir un correo recibido. Una vez que el usuario la introduce, se puede enviar la información a un servidor donde se almacenaría. La solución podría llegar a finales de este mes con iOS 8.4.
Vía: Ars Technica.
