根據外媒報導, iOS郵件Mail.app上的存在一個可被利用的漏洞,駭客可以透過這個漏洞,發送遠端HTML內容到郵件,並重新導向一個攻擊網頁,讓攻擊網頁的內容取代既有郵件內容,可用以發動各種攻擊,甚至是用以竊取密碼。攻擊郵件的製作相當簡單,只需要加入一<meta>標籤,並輸入藏有攻擊碼的網站位址,即大功告成。
經ASRC實際測試將郵件重新導向至Yahoo!奇摩網站,果然在iOS 8.x的Mail.app上,郵件內容就直接變成了Yahoo!奇摩的畫面。測試過程截圖請參閱: http://www.asrc-global.com/newslist.html?pg=1&tag=t5&NID=852
過去的釣魚郵件要導引受害者至有害網站,需要受害者配合點擊;但若利用此漏洞,甚至用以攻擊特定對象(魚叉式攻擊),則只要受害者以iOS 8.x中的Mail.app閱讀信件,即會自動導向釣魚網站。中華數位與ASRC呼籲使用iOS 8.x的用戶,在收取郵件時,若發現彈出密碼框或有額外彈出網頁的情況,務必特別小心,切勿在其中輸入任何密碼或機敏資料。
ASRC垃圾訊息研究中心(Asia Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動。.等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考www.asrc-global.com 。