Un error de la aplicación iCloud desde la versión 8.3 de iOS, provoca un error al rechazar código HTML peligroso procedente de mensajes de correo electrónico entrantes.
Ello permite el robo de contraseñas de iCloud según un investigador de seguridad que ha publicado una prueba de concepto descargando un formulario desde un servidor remoto que se ve idéntico al de log-in legítimo de iCloud, que se muestra cada vez que se abre el mensaje trampa:
“Este error permite que contenidos HTML remotos puedan ser cargados, reemplazando el contenido del e-mail original. El JavaScript está desactivado en este UIWebView, pero es posible construir un recolector de contraseñas funcional con HTML y CSS”.
Con el fin de hacerse pasar por el formulario de log-in legítimo de iCloud, el código utiliza una característica llamada autofoco para ocultar el campo de diálogo una vez que el usuario hace clic en OK. Todo esto es requerido para disparar la vulnerabilidad en un email que contiene la siguiente etiqueta HTML, <meta http-equiv=refresh>, que es enviado a la víctima, estando almacenado el log-in falso en una computadora conectada a Internet