Ello permite el robo de contraseñas de iCloud según un investigador de seguridad que ha publicado una prueba de concepto descargando un formulario desde un servidor remoto que se ve idéntico al de log-in legítimo de iCloud, que se muestra cada vez que se abre el mensaje trampa:

“Este error permite que contenidos HTML remotos puedan ser cargados, reemplazando el contenido del e-mail original. El JavaScript está desactivado en este UIWebView, pero es posible construir un recolector de contraseñas funcional con HTML y CSS”.

Con el fin de hacerse pasar por el formulario de log-in legítimo de iCloud, el código utiliza una característica llamada autofoco para ocultar el campo de diálogo una vez que el usuario hace clic en OK. Todo esto es requerido para disparar la vulnerabilidad en un email que contiene la siguiente etiqueta HTML, <meta http-equiv=refresh>, que es enviado a la víctima, estando almacenado el log-in falso en una computadora conectada a Internet

El investigador notificó a Apple este error en enero, pero de momento los de Cupertino no lo han parcheado, algo esperado en iOS 8.4.

Un retraso importante cuando aún resuena el escándalo de la publicación de imágenes comprometidas de un centenar de famosos del cine y la música, tras un hackeo a iCloud aprovechando una vulnerabilidad del sistema de almacenamiento en nube de Apple, con responsabilidad compartida entre los ciberdelincuentes que llevaron a término el ataque, el nulo sentido común de las famosas que subieron sus imágenes en paños menores, y Apple por el fallo de seguridad.

Fuente: muyseguridad