セキュリティ研究者のJan Soucek氏は、しばらく前にiOSメールのバグを発見しました。このバグにより、攻撃者はメールを開いた際にリモートでHTMLコードを実行できます。つまり、このバグを知っている悪意のあるユーザーは、ユーザーにiCloudログインを要求するフィッシングメールを作成できるということです。ログイン情報が入力されると、何も知らない被害者はApple ID認証情報で保護されているすべてのものへの鍵を渡してしまうことになります。Soucek氏によるこのバグの実演動画はこちらです。
現時点でこの問題を回避する唯一の方法は、常に注意を払うことです。iOSデバイスでメールを読んでいるときに、iCloudなどのシステムへのログインを求めるポップアップが表示されても、ログインしないでください。このバグは1月にAppleに報告されましたが、同社はまだ修正していません。この問題を強制的に解決し、できるだけ早く修正してもらうため、Soucek氏は概念実証コードをGitHubにアップロードしました。
繰り返しになりますが、iOSのメールアプリでメールを読んでいるときに、何らかのシステムへのログインを求められた場合は、安全のため、メールアプリを終了してログインを求められるまでお待ちください。または、設定など、他の手段でシステムに再度ログインしてください。
