De Mail-app voor iOS blijkt een groot beveiligingslek te bevatten, waardoor het voor hackers relatief simpel is om gebruikers op een officieel uitziende manier wachtwoorden te laten invoeren.

De wachtwoorden kunnen vervolgens worden onderschept en misbruikt.

Beveiligingsonderzoeker Jan Souček ontdekte dat de app het mogelijk maakt voor afzenders van e-mails om een stukje code te gebruiken dat een echt uitziend inlogvenster oproept. Het venster kan een titel als 'iCloud login' meekrijgen.

Als gebruikers hun wachtwoord invoeren worden ze doorgestuurd naar een website die de gegevens ontvangt, en komen ze vervolgens weer in de e-mail terecht. Er wordt een cookie geplaatst die ervoor zorgt dat het wachtwoordvenster niet meermaals wordt getoond aan dezelfde gebruiker, om verdenkingen van misbruik te voorkomen.

Ingelicht

Souček zegt dat hij Apple in januari al heeft ingelicht over de bug, maar dat het bedrijf het sindsdien niet heeft gerepareerd. Daarom heeft hij nu details over het probleem openbaar gemaakt.

Apple heeft nog niet gereageerd op de publicatie van Souček, en het is onduidelijk of en wanneer het lek zal worden gedicht.