De iPhone, iPad en Mac waren kwetsbaar voor een speciaal type phishingaanval waarbij een alternatieve versie van de letter 'd' werd gebruikt om slachtoffers te misleiden.

Dat ontdekte een onderzoeker van Tencent, meldt ZDNet dinsdag. Apple zei eerder al een lek te hebben gedicht dat door de onderzoeker was ontdekt, maar zei niet wat het precieze probleem was.

In het toetsenbord van de iPhone zit de 'kleine dum', een letter die erg lijkt op de d-knop van het toetsenbord. Een websitelink met de 'kleine dum' is daardoor niet te onderscheiden met een link die de letter 'd' bevat. 

De onderzoeker slaagde erin om het domein icloud.com te registreren, waarbij de 'd' werd vervangen door het alternatieve teken. Vervolgens registreerde hij een certificaat waardoor de site er betrouwbaar uitzag.

In de meeste gangbare webbrowsers zag de link er niet uit als icloud.com, maar bij Safari op Apple-apparaten wel. Hierdoor was de link niet van echt te onderscheiden.

Te misbruiken voor phishing

Criminelen konden zich daardoor voordoen als officiële websites van instanties, mits ze de letter 'd' in hun domeinnaam hebben staan. Vervolgens kan zo'n site om gevoelige gegevens van gebruikers vragen.

De gebruikers denken een bedrijf van data te voorzien, terwijl ze eigenlijk hun informatie naar criminelen sturen.

Apple heeft het beveiligingslek in juli gedicht. Gebruikers die sindsdien niet een software-update hebben geïnstalleerd, krijgen het advies dit alsnog te doen.