Jedną z bardziej popularnych prób wyłudzenia haseł i innych ważnych danych są ataki phisingowe, w których przestępcy starają się oszukać użytkownika za pomocą stron internetowych podszywających się pod te zaufane, do których zwykle loguje się on bez oporów. Okazuje się, że dzięki luce istniejącej w programie pocztowym Mail w iOS 8, możliwe jest wyłudzenie tego typu danych od użytkownika.

Chodzi o sposób, w jaki program ten przetwarza kod HTML. Okazuje się, że bez problemu przepuszcza on złośliwy kod doczepiony do wiadomości e-mail, który może odwoływać się do zewnętrznego serwera, na którym znajduje się np. kod formularza wyglądającego identycznie z oknem logowania do iCloud.

Odpowiednio spreparowany e-mail, który dla przeciętnego użytkownika wyglądać będzie jak komunikat przesłany przez administrację iCloud, może skłonić użytkownika do kliknięcia w link i wpisania danych logowania w pojawiającym się formularzu.

Jan Soucer - odkrywca tej luki - przygotował krotki film prezentujący, jak taki atak może wyglądać.